Dragnet: Big Kill / Big Thank You / Big Boys
Talaan ng mga Nilalaman:
Ang mga mananaliksik mula sa Security Explorations, isang kumpanya sa pananaliksik na nakabatay sa pananaliksik sa Poland, ay nag-claim na nakahanap ng dalawang bagong mga kahinaan sa Java 7 Update na maaaring mapagsamantalahan upang laktawan ang software
Oracle pinakawalan ng Java 7 Update 11 noong nakaraang Linggo bilang isang emergency update ng seguridad upang harangan ang isang zero-araw na pagsasamantala na ginagamit ng mga cybercriminal upang mahawa ang mga computer gamit ang malware. na ang isang kumpletong Java seguridad sandbox bypass ay maaari pa ring makamit sa ilalim ng Java 7 Update 11 (JRE bersyon 1.7.0_11-b21) sa pamamagitan ng paggamit ng dalawang bagong kahinaan natuklasan sa pamamagitan ng Ang mga mananaliksik ng kumpanya, si Adam Gowdiak, ang tagapagtatag ng kumpanya, ay nagsabi ng Biyernes sa isang mensaheng ipinadala sa listahan ng Full Disclosure mailing.
[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]
Mga hindi nauugnay na mga vulnerabiliites
Mga mananaliksik mula sa security firm Ang imyunidad na pinag-aralan ang paggamit ng cybercriminals mula noong nakaraang linggo ay nagtapos na isinama din nito ang dalawang kahinaan upang makamit isang Java sandbox escape. Gayunpaman, sinabi nila sa isang blog post na ang Java 7 Update 11 ay nakatalaga lamang sa isa sa mga ito at binigyan ng babala na kung ang mga attacker ay makahanap ng isa pang kahinaan upang palitan ang patched isa, ang isang bagong exploit ay maaaring malikha.
Ang mga kahinaan na natuklasan ng Security Explorations ay hiwalay mula sa isang kaliwa unpatched sa pamamagitan ng Oracle sa Java 7 Update 11, sinabi Gowdiak Biyernes sa pamamagitan ng email.
Ang ilang mga seguridad mananaliksik, kabilang ang mga mula sa US Computer Emergency Readiness Team (US-CERT), patuloy na ipaalam sa mga gumagamit upang huwag paganahin ang Java browser plug-in sa kabila ng pagpapalabas ng Java 7 Update 11, na nagbabanggit ng mga alalahanin na ang mga katulad na pag-atake ay maaaring mangyari sa hinaharap.
"Mayroong tiyak na bagay na nag-aalala tungkol sa kalidad ng Java SE 7 code," sabi ni Gowdiak. Ito ay maaaring magmungkahi ng kakulangan ng isang wastong programa ng Lifecycle sa Pag-unlad para sa Java o ilang iba pang mga problema na panloob sa Oracle. Sinabi niya, ang katunayan na ang Java 7 Update 11 ay humihiling ng mga kumpirmasyon ng mga gumagamit bago pinahintulutan ang Java applets Ang pagpapatupad sa loob ng mga browser ay tiyak na isang hakbang sa tamang direksyon at maaaring hadlangan ang maraming pag-atake, sinabi ni Gowdiak.
Kabilang sa mga apektadong produkto ay ang database ng Oracle; ang database ng TimesTen nito sa memory; Oracle Application Server; isang bilang ng mga produkto ng PeopleSoft Enterprise; Oracle Enterprise Manager Database Control; E-Business Suite; at WebLogic Server, na nakuha nito sa pamamagitan ng pagbili ng BEA Systems. Walang mga bagong patch para sa mga produkto ng Oracle's J.D. Edwards.
Ang patch set ay may kasamang 11 pag-aayos ng database na nakakaapekto sa isang bilang ng mga bersyon sa loob ng 11g, 10g at 9i release. Wala sa mga kahinaan sa seguridad ang target na patches ay maaaring pinagsamantalahan sa isang network na walang user name at password, sinabi ng Oracle.
Java Patch Tinutupad ang mga Butas sa Seguridad
Ang isang bagong bersyon ng Sun's Java SE JRE 6 at JDK 6 ay nag-aayos ng mga malubhang kahinaan.
Ang kumpanya ay na-update ang parehong Oracle Endeca Impormasyon Discovery at ang Oracle Business Intelligence Foundation Suite, ilalabas ang bagong bersyon s ng software kasabay ng Collaborate, isang independiyenteng kumperensya para sa mga gumagamit ng software ng Oracle ngayong linggo sa Denver. Ang bawat pakete ng software ay may mga bagong paraan upang mag-ingest ng mga karagdagang mapagkukunan ng data para sa pagtatasa.
Ang bagong inilabas na Oracle Endeca Information Discovery 3.0 ay ang unang pangunahing pag-update ng produkto para sa software mula nang nakuha ni Oracle ang Endeca noong Oktubre 2011, sinabi ni Rodwick. Ang endeca software ay nagpapahintulot sa mga gumagamit na pag-aralan ang hindi natukoy na data, o data na hindi nakuha sa isang database o data warehouse.