Oracle lansează o soluție de urgență pentru exploatarea Java zero-day

Oracle a lansat luni patch-uri de urgență pentru Java pentru a aborda două vulnerabilități critice, dintre care una este exploatată în mod activ de către hackeri în atacuri vizate.

Vulnerabilitățile, identificate ca CVE- 2013-1493 și CVE-2013-0809, sunt situate în componenta 2D a Java și au primit cel mai mare scor de impact posibil din partea Oracle.

"Aceste vulnerabilități pot fi exploatate la distanță fără autentificare, adică pot fi exploatate prin intermediul unei rețele fără a fi nevoie de un nume de utilizator și de o parolă ", a declarat compania într-o alertă de securitate. "Pentru ca un exploatat să aibă succes, un utilizator care nu se întreabă care rulează o versiune afectată într-un browser trebuie să acceseze o pagină web rău intenționată care utilizează aceste vulnerabilități. Utilizările reușite pot afecta disponibilitatea, integritatea și confidențialitatea sistemului utilizatorului. "

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul dvs. de Windows]

Actualizările nou lansate bump Java în versiunile 7 Update 17 (7u17) și 6 Actualizare 43 (6u43), sărind peste 7u16 și 6u42 din motive care nu au fost clare imediat.

Oracle notează că Java 6u43 va fi ultima actualizare disponibilă pentru Java 6 și va sfătui utilizatorii să facă upgrade la Java 7. disponibilitatea publicului pentru actualizările Java 6 trebuia să se încheie cu Java 6 Update 41, lansat pe 19 februarie, dar se pare că compania a făcut o excepție pentru acest patch de urgență.

vulnerabilitatea CVE-2013-1493 a fost exploatată activ de atacatorii de la cel puțin ultima joi, când cercetătorii de la firma de securitate FireEye au descoperit atacuri care le-au folosit pentru a instala o malware de acces la distanță, numit McRAT. Cu toate acestea, se pare că Oracle a fost conștient de existența acestui defect de la începutul lunii februarie.

"Deși au fost primite recent rapoarte de exploatare activă a vulnerabilității CVE-2013-1493, acest bug a fost raportat inițial Oracle pe 1 februarie 2013, din păcate prea târziu pentru a fi inclus în ediția din 19 februarie a Actualizării critice pentru Java SE ", a declarat Eric Maurice, directorul Oracle de asigurare a software-ului, într-un post pe blog luni.

Compania intenționase să repare CVE- 1493 în următoarea actualizare Java Critical Patch Update pe 16 aprilie, a spus Maurice. Cu toate acestea, deoarece vulnerabilitatea a început să fie exploatată de atacatori, Oracle a decis să elibereze un patch mai devreme.

Cele două vulnerabilități adresate cu cele mai recente actualizări nu afectează Java care rulează pe servere, aplicații desktop Java sau aplicații Java embedded, A spus Maurice. Utilizatorii sunt sfătuiți să instaleze patch-urile cât mai curând posibil, a spus el.

Utilizatorii pot dezactiva suportul pentru conținutul Java bazat pe Web din fila de securitate din panoul de control Java dacă nu au nevoie de Java pe Web. Setările de securitate pentru un astfel de conținut sunt setate la înalte în mod prestabilit, ceea ce înseamnă că utilizatorii sunt rugați să autorizeze executarea de applet-uri Java care nu sunt semnate sau semnate în interiorul browserelor.

Aceasta este concepută pentru a împiedica exploatarea automată a vulnerabilităților Java peste Web, dar funcționează numai dacă utilizatorii sunt capabili să ia decizii în cunoștință de cauză cu privire la ce aplicații să autorizeze și care nu. "Pentru a se proteja, utilizatorii desktop ar trebui să permită executarea de applet-uri doar atunci când se așteaptă ca astfel de applet-uri și să aibă încredere în originea lor", a spus Maurice