Oracle ryntää toisen Java-päivityksen, korjaa 50 haavoittuvuutta

Kun tietoturva tutkijat ilmoittivat tammikuussa julkaistun Java-päivityksen viimeisimmän Java-päivityksen haavoittuvuuksista, Oracle on ryntänyt aikataulustaan ​​uuden ohjelmistokielen korjauspaketin.

Viimeisin päivitys, joka oli tarkoitus julkaista helmikuussa 19, sisältää 50 suojauskorjausta 49 virheelle, jotka olivat hyödynnettävissä etäältä ilman lupaa. Tämä tarkoittaa sitä, että niitä voidaan käyttää verkossa ilman käyttäjätunnuksen ja salasanan tuntemusta.

Oracle ilmoitti päivitettäväksi ajoissa, koska päivityksessä käsiteltyjä haavoittuvuuksia on jo käytetty luonnossa.

[Lue lisää: Avaruohjelmien poistaminen Windows-tietokoneelta]

"Oracle suosittelee vahvasti, että asiakkaat käyttävät CPU-korjauksia mahdollisimman pian", sanoo yritys varoitti päivitysvihjeessä.

Oracle ryntäsi Java-tietoturvakorjaus tammikuussa sen jälkeen, kun Department of Homeland Security Computer Emergency Readiness Team (US-CERT) suositteli, että kaikki käyttäjät käyttävät ohjelmistoa turvallisuusongelmien vuoksi. Näihin huolenaiheisiin liittyen nollapäivän haavoittuvuus oli hyödynnetty tietoverkkorikollisten luomien työkalupakkojen avulla ja varastettiin arkaluonteisia tietoja tietokoneista.

Jopa tämän korjauksen, Java 7 -päivityksen 11 julkaisun jälkeen, virasto suositteli kuitenkin sammuttaa Java, ellei sitä käytetä täysin välttämätön.

Se tuli nopeasti ilmi, että 7u11-korjaus oli jättänyt jälkensä. Vain muutaman päivän kuluttua julkaisusta hakkeri alkoi myydä verkkokauppamarkkinoilla pari uutta Java Zero Day -haavoittuvuutta jokaiselle $ 5000: lle.

Muut hakkerit, joilla ei ehkä ole kykyä löytää haavoittuvuuksia, alkoivat hyödyntää otsikoita Java-ongelmista kiinnittämällä phishing-retkiä, jotka tarjoavat Fake-päivityksiä Oraclen ohjelmointikieltä. Käyttäjän asennuksen jälkeen fake-päivitys asentaa takaluukun järjestelmään, jonka avulla hakkeri pystyy hallitsemaan sitä.

Päivityspäivityksessä havaitut virheet

Java-onnettomuudet jatkuivat, kun puolessa tietoturvayrityksessä Security Explorations historia löytääkseen Java-tietoturva-aukkoja, löysi 7u11-päivityksessä uusia haavoittuvuuksia, joita voitaisiin käyttää hyväksi ohjelman hiekkalaatikon välttämiseksi - ohjelmointitekniikka, jolla eristetään vahinko, jonka haittaohjelmat voivat tehdä järjestelmälle.

"Nämä ongelmat jatkuvat kunnes Oracle korjaa hiekkalaatikon, "Bitdefender Senior E-Threat Analystin Bogdan Botezatu sanoi haastattelussa.

Botezatu kritisoi sitä, kuinka paljon Oraclen luottaa käyttäjiä ylläpitämään turvallisuutta 7u11-päivityksessä.

Esimerkiksi päivitys asettaa oletuksena korkeimman Java-suojaustason. Tällä tasolla, kun allekirjoittamaton Java-sovelma yrittää ajaa selaimessa, ilmestyy viesti, joka varoittaa käyttäjää siitä, että sovellus voi olla vaarallinen ja että käyttäjän on toimittava omalla vastuullaan.

Yleensä käyttäjät eivät ota tällaisia ​​varoituksia, koska ne ovat ärsyttäviä. Tämä pätee erityisesti lapsiin, jotka pelaavat Java-pelejä verkossa - tosiasia, Botezatu huomauttaa, jota ei menetetä digitaalisissa epätoivoissa. "Olen nähnyt paljon Java-haittaohjelmia käyttäviä sivustoja sivuilla, jotka on optimoitu lapsille tarkoitetuilla avainsanoilla", hän sanoi.

Viimeisimmän Java-päivityksen myötä Oracle voi yrittää muuttaa ohjelmaan liittyvää onneaan. Näyttää siltä, ​​että se on ohittanut päivityksen 12 numerointisuunnitelmaansa ja määrittänyt viimeisimmän Java 7 -päivityspaketin 13.