Oracle objavio hitnu popravak za nultoj Java iskorištavanje

Oracle je objavio sigurnosne zakrpe za Java u ponedjeljak kako bi se riješio dvije ključne ranjivosti, od kojih je jedan aktivno iskorišten od strane hakera u ciljanim napadima.

Ranjivosti, identificirane kao CVE- 2013-1493 i CVE-2013-0809, nalaze se u 2D komponenti Java i dobili su najveći mogući rezultat od Oraclea.

"Te ranjivosti mogu se daljinski iskoristiti bez provjere, tj. One se mogu iskoristiti preko mreže bez potrebe za korisničkim imenom i lozinkom ", rekla je tvrtka u sigurnosnom upozorenju. "Da bi iskorištavanje uspjelo, korisnik bez sumnje koji pokreće pogođeno izdanje u pregledniku mora posjetiti zlonamjernu web stranicu koja iskorištava ove ranjivosti.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Novootvoreni obnovi ažuriraju Java u inačice 7 Ažuriranje 17 (7u17) i 6 Ažuriranje 43 (6u43), preskakanje preko 7u16 i 6u42 iz razloga koji nisu odmah bili jasni.

Oracle primjećuje da će Java 6u43 biti posljednji javno dostupni update za Java 6 i savjetuje korisnicima nadogradnju na Java 7. javna dostupnost Java 6 ažuriranja trebala bi završiti s Java 6 Update 41, objavljenom 19. veljače, no čini se da je tvrtka napravila iznimku za ovu hitnu zakrpu.

Ranjivost CVE-2013-1493 aktivno je iskorištena od strane napadača od najmanje prošlog četvrtka, kada su istraživači iz sigurnosne firme FireEye otkrili napade pomoću njega kako bi instalirali komad zlonamjernog softvera za daljinski pristup pod nazivom McRAT. Međutim, čini se da je Oracle bio svjestan postojanja ove mane od početka veljače. "Iako su izvješća o aktivnom iskorištavanju ranjivosti CVE-2013-1493 nedavno primljena, ovaj je bug originalno prijavljen Oracleu 1. veljače 2013., nažalost, prekasno da bude uključen u objavu "Kritična zakrpa za Java SE" 19. veljače ", rekao je Eric Maurice, direktor tvrtke Oracleova programa za softversku sigurnost, na blogu u ponedjeljak.

Tvrtka je planira popraviti CVE-2013- 1493 u sljedećoj zakazanoj nadogradnji Java Critical Patch, 16. travnja, rekao je Maurice. Međutim, zbog toga što je napadačima iskoristio ranjivost, Oracle je odlučio objaviti zakrpu prije.

Dvije ranjivosti obrađene najnovijim ažuriranjima ne utječu na Java koji se izvodi na poslužiteljima, samostalne aplikacije Java aplikacije ili ugrađene Java aplikacije, Rekao je Maurice. Korisnicima se preporučuje da što prije instalirate zakrpe, rekao je.

Korisnici mogu onemogućiti podršku za web-based Java sadržaj sa sigurnosne kartice na upravljačkoj ploči Java ako ne trebaju Java na webu. Sigurnosne postavke za takav sadržaj postavljene su prema zadanim postavkama visoke, što znači da se od korisnika traži da ovlasti izvršavanje Java apleta koji nisu potpisani ili samopotpisani unutar preglednika.

To je osmišljeno kako bi se spriječilo automatsko iskorištavanje Java ranjivosti nad Web, ali funkcionira samo ako su korisnici sposobni donositi informirane odluke o tome koje aplikacije ovlastiti i koje ne. "Kako bi se zaštitili, korisnici stolnih računala trebali bi dopustiti izvršavanje aplikacija samo kada očekuju takve aplikacije i pouzdaju se u njihovo podrijetlo", rekao je Maurice.