Oracle, sıfır günlük sıfırlama için acil durum düzeltmesi yayınladı

Oracle, Pazartesi günü Java için acil saldırıları yayınladı. Bunlardan biri, hedefe yönelik saldırılardaki korsanların aktif olarak yararlandığı iki önemli güvenlik açığını ele alıyor.

CVE- olarak tanımlanan güvenlik açıkları. 2013-1493 ve CVE-2013-0809, Java'nın 2D bileşeninde bulunur ve Oracle'dan mümkün olan en yüksek etki puanını almıştır.

“Bu güvenlik açıkları, kimlik doğrulama olmaksızın uzaktan kullanılabilir, yani bir ağ üzerinden kullanılabilirler. Bir kullanıcı adı ve parola gerektirmeden, ”dedi şirket güvenlik alarmında. “Bir istismarın başarılı olması için, bir tarayıcıda etkilenen bir sürümü yayınlayan şüpheli olmayan bir kullanıcının bu güvenlik açıklarından yararlanan kötü amaçlı bir web sayfasını ziyaret etmesi gerekir. Başarılı istismarlar, kullanıcının sisteminin kullanılabilirliğini, bütünlüğünü ve gizliliğini etkileyebilir. ”

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Yeni yayımlanan güncellemeler Java'yı 7 sürümüne indirir. Güncelleme 17 (7u17) ve 6 Güncelleme 43 (6u43), 7u16 ve 6u42'nin üzerine atlanmayan nedenlerle atlanıyor.

Oracle, Java 6u43'ün Java 6 için son herkese açık güncelleme olacağını ve kullanıcıların Java 7'ye yükseltme yapmalarını önerdiğini belirtiyor. Java 6 güncellemelerinin kamuya açık olması, 19 Şubat'ta yayımlanan Java 6 Güncellemesi 41 ile sona ermesi gerekiyordu, ancak şirket bu acil durum yama için bir istisna oluşturuyor.

CVE-2013-1493 güvenlik açığı aktif bir şekilde kullanıldı. En son geçtiğimiz Perşembe gününden beri saldırganlar, güvenlik firması FireEye'den araştırmacılar, McRAT adlı bir uzaktan erişim zararlı yazılımını yüklemek için bunu kullanarak saldırıları keşfettiler. Ancak, Şubat ayının başından bu yana Oracle'ın bu kusurun varlığından haberdar olduğu anlaşılıyor.

“CVE-2013-1493 güvenlik açığından etkilenen aktif sömürü raporları alınmasına rağmen, bu hata başlangıçta 1 Şubat 2013'te Oracle'a bildirildi.

Pazartesi günü bir blog yayınında Oracle'ın yazılım güvencesi direktörü Eric Maurice, 19 Şubat'ta Kritik Yama Güncellemesi için Java SE'nin 19 Şubat tarihli sürümüne dahil edilmek için çok geç oldu.

Şirket, CVE-2013 Maurice, bir sonraki planlanmış Java Kritik Yama Güncellemesinde 1493'te 16 Nisan'da, dedi. Ancak, güvenlik açığı saldırganlar tarafından kullanılmaya başlandığından, Oracle daha önce bir yama yayınlamaya karar verdi.

En son güncellemelerle ele alınan iki güvenlik açığı, sunucular üzerinde çalışan Java'yı, bağımsız Java masaüstü uygulamalarını veya yerleşik Java uygulamalarını etkilemez. Maurice dedi. Kullanıcılara yamaları mümkün olan en kısa sürede yüklemeleri tavsiye edilir.

Kullanıcılar, Web üzerinde Java'ya ihtiyaç duymazlarsa, Java kontrol panelindeki güvenlik sekmesinden Web tabanlı Java içeriği desteğini devre dışı bırakabilirler. Bu tür içeriklerin güvenlik ayarları varsayılan olarak yüksek olarak ayarlanmıştır, yani kullanıcıların tarayıcıda imzasız veya kendinden imzalı Java uygulamalarının yürütülmesini yetkilendirmeleri istenir.