Oracle başka bir Java güncellemesini başlatıyor, 50 güvenlik açığını düzeltti

Güvenlik araştırmacıları tarafından Ocak ayında yayımlanan Java'nın son güncellemesindeki güvenlik açıkları tarafından yapılan açıklamaların ardından, Oracle programlama dili için başka bir düzeltme paketini daha ileriye götürdü.

En son güncelleme, başlangıçta Şubat'ta yayınlanması planlanıyor 19, yetki verilmeden uzaktan kullanılabilecek 49 kusur için 50 güvenlik düzeltmesi içeriyor. Bu, bir kullanıcı adı ve parola bilgisi olmadan bir ağ üzerinde kullanılabilecekleri anlamına gelir.

Oracle, güncellemede ele alınan güvenlik açıklarından birinin vahşi ortamda zaten kullanılmakta olduğundan, erken güncellendiğini söyledi.

[Ek okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl kaldırabilirsiniz]

"Şirket, başarılı bir saldırının neden olduğu tehditler nedeniyle, müşterilerin en kısa sürede CPU düzeltmelerini uygulamasını şiddetle tavsiye ediyor", şirket güncelleme konusunda uyardı.

Oracle acele etti Anavatan Güvenliği'nin Bilgisayar Acil Durum Hazırlık Ekibi (US-CERT) Bölümü, güvenlik endişeleri nedeniyle yazılımın tüm kullanıcıları tarafından devre dışı bırakılmasını tavsiye ettikten sonra Ocak ayında Java için bir güvenlik düzeltmesi yaptı. Bu endişeler siber suçlular tarafından yaratılan ve hassas bilgileri bilgisayarlardan çalmak için kullanılan Zero Day savunmasızlığını içeriyordu.

Bu düzeltmenin yayınlanmasından sonra bile, Java 7 11 güncellemesi, ajansın kesinlikle kullanılmadığı sürece Java'yı kapatmayı önerdi. gerekli.

7u11 düzeltmesinin işaretini kaçırdığı hızla anlaşıldı. Piyasaya çıkmasından birkaç gün sonra bir bilgisayar korsanı, çevrimiçi karaborsada bir çift yeni Java Zero Day savunmasızlığını her biri 5000 $ karşılığında satmaya başladı.

Zafiyetleri bulma becerilerinden yoksun olan diğer bilgisayar korsanları, Java'nın sorunlarıyla ilgili başlıkları sömürmeye başladı. Oracle'ın programlama dilinin sahte güncellemelerini sunan phishing keşifleri. Bir kullanıcı tarafından yüklemeden sonra, sahte güncelleştirme bir korsanın onu kontrol etmesini sağlayan bir sisteme bir arka kapı yükler.

Güncellemesinde görülen kusurlar> Java'nın talihsizlikleri, ayın ilerleyen saatlerinde Güvenlik Araştırmaları, bir Polonya güvenlik firması ile devam etti. Java'da güvenlik kusurları bulma öyküsü, 7u11 güncellemesinde keşfedilen yeni güvenlik açıkları programın sandbox'ından sakınmak için kullanılabilecek bir programlama tekniğini engellemek için kullanılan bir programlama tekniğidir. Zararlı kodları bir sisteme yapabilir.

"Bu sorunlar devam edecek Oracle, sandbox'u düzelinceye kadar, "Bitdefender Kıdemli E-Tehdit Analisti Bogdan Botezatu bir röportajda söyledi.

Botezatu, Oracle'ın 7u11 güncellemesinde güvenliği sürdürmek için kullanıcılara ne kadar güvendiğini eleştirdi.

Örneğin, güncelleme Java için varsayılan olarak en yüksek güvenlik düzeyini ayarlar. Bu düzeyde, imzalanmamış bir Java uygulaması bir tarayıcıda çalışmayı denediğinde, bir kullanıcı, uygulamanın tehlikeli olabileceğine ve kullanıcının kendi riskiyle devam etmesi gerektiğine dair uyarıda bulunur.

Genellikle kullanıcılar bu tür uyarıları dikkate almazlar. Onları can sıkıcı buluyorlar. Bu özellikle, Web üzerinde Java oyunları oynayan çocuklar için doğrudur. Bu, Botezatu'nun dijital umutsuzluklarda kaybolmadığına dikkat çekiyor. “Java kötü amaçlı yazılımlarını çalıştıran web sitelerini, çocuklara yönelik hedeflenen anahtar kelimelerle optimize edilmiş pek çok web sitesinde gördüm” dedi.

En son Java güncellemesiyle Oracle, programdaki şansını değiştirmeye çalışıyor olabilir. Numaralandırma şemasında 12 güncellemesini atlamış ve en son Java 7 güncellemesi paketini 13 belirledi.