Oracle rushes isa pang pag-update ng Java, pag-aayos ng 50 kahinaan

Kasunod ng mga pagsisiwalat sa pamamagitan ng mga mananaliksik sa seguridad ng mga kahinaan sa huling pag-update ng Java na inilabas sa Enero, ang Oracle ay umakyat ng maaga sa iskedyul ng isa pang bundle ng mga pag-aayos para sa programming language. 19, ay naglalaman ng 50 mga pag-aayos sa seguridad para sa 49 mga depekto na magagamit ng malayuan nang walang pahintulot. Ito ay nangangahulugang maaari silang magamit sa isang network na walang kaalaman sa isang username at password.

Sinabi ng Oracle na ito ay na-update nang maaga sapagkat ang isa sa mga kahinaan na natugunan sa pag-update ay pinagsamantalahan na sa ligaw.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC.

"Dahil sa banta na ibinabanta ng isang matagumpay na pag-atake, lubos na inirerekomenda ng Oracle na mag-aplay ang mga customer ng mga pag-aayos ng CPU sa lalong madaling panahon," ang kumpanya ay binigyan ng babala sa isang update na payo. ang isang pag-aayos ng seguridad para sa Java noong Enero pagkatapos ay inirerekomenda ng Computer Emergency Readiness Team ng Kagawaran ng Homeland Security (US-CERT) ang software na hindi pinagana ng lahat ng mga gumagamit nito dahil sa mga alalahanin sa seguridad. Ang mga alalahanin na may kinalaman sa kahinaan ng Zero Day na pinagsamantalahan ng mga toolkit na nilikha ng mga cybercriminal at ginagamit upang magnakaw ng sensitibong impormasyon mula sa mga computer.

Kahit na matapos na maalis ang pag-aayos na iyon, Java 7 update 11, inirerekomenda pa rin ng ahensiya ang pagpatay ng Java maliban kung gamitin ito kinakailangan.

Ito ay mabilis na naging maliwanag na ang pag-aayos ng 7u11 ay hindi nakuha ang marka nito. Makalipas ang ilang araw pagkatapos ng release ng isang hacker ay nagsimulang maglaro sa online na itim na merkado ng isang pares ng mga bagong Java Zero Day na kahinaan para sa $ 5000 bawat isa.

Iba pang mga hacker, marahil kulang ang mga kasanayan upang mahanap ang mga kahinaan, nagsimulang upang samantalahin ang mga headline tungkol sa woes ng Java sa pamamagitan ng kabitan Mga ekspedisyon ng phishing na nag-aalok ng mga pekeng update ng programming language ng Oracle. Pagkatapos ng pag-install ng isang gumagamit, ang pekeng pag-i-install ay nag-i-install ng back door sa isang system na nagpapahintulot sa isang hacker na makontrol ito.

Mga kapintasan na natagpuan sa pag-update

Ang mga misfortunes ng Java ay nagpatuloy nang mamaya sa buwan Security Explorations, isang Polish security firm isang kasaysayan ng paghahanap ng mga kakulangan sa seguridad sa Java, natuklasan ang mga bagong kahinaan sa pag-update ng 7u11 na maaaring pinagsamantalahan upang maiwasan ang sandbox ng programa-isang pamamaraan ng programming na ginagamit upang ihiwalay ang pinsala na maaaring gawin ng nakahahamak na code sa isang system. hanggang sa maayos ng Oracle ang sandbox, "sinabi ng Bitdefender Senior E-Threat Analyst Bogdan Botezatu sa isang pakikipanayam.

Botezatu ay kritikal sa kung gaano kadami ang ipinag-utos ng Oracle sa mga gumagamit upang mapanatili ang seguridad sa 7u11 update.

Halimbawa, ang update nagtatakda, bilang default, ang pinakamataas na antas ng seguridad para sa Java. Sa antas na iyon, kapag ang isang unsigned Java applet ay sumusubok na tumakbo sa isang browser, ang isang mensahe ay nagpa-pop up ng pag-iingat sa isang user na ang app ay maaaring mapanganib at ang user ay dapat magpatuloy sa kanilang sariling peligro. nakita nila ang mga ito nakakainis. Totoo iyon para sa mga bata na naglalaro ng Java sa Web-isang katotohanan, itinuturo ni Botezatu, hindi nawala sa mga digital desperado. "Nakita ko ang maraming mga website na nagpapatakbo ng Java malware sa mga pahina na na-optimize na may mga keyword na naka-target sa mga bata," sabi niya.

Gamit ang pinakabagong pag-update ng Java, maaaring sinusubukang baguhin ng Oracle ang kapalaran nito sa programa. Lumilitaw na nilaktawan ang update 12 sa pag-numerong pamamaraan nito at itinalaga ang pinakabagong bundle ng mga pag-aayos ng Java 7 update 13.