Oracle已经发布了Java的另一个紧急更新。 这是该公司于2013年发布的第三个紧急更新,用于修复Java中巨大的安全性问题,这些问题已在攻击中使用。
甲骨文在周一发布的安全公告中说,最新的更新(Java 7更新17和Java 6更新43)解决了CVE-2013-1493和一个相关漏洞(CVE-2013-0809)。 甲骨文软件安全保证总监埃里克·莫里斯(Eric Maurice)的博客文章称,这两个漏洞都会影响Java SE的2D组件,该组件处理运行时图形以及如何渲染图像。
该公司表示,所有Java用户都应立即升级到最新版本。
Oracle写道:“这些漏洞无需身份验证即可远程利用,即,可以通过网络利用这些漏洞而无需用户名和密码。”
甲骨文说,攻击者可以诱使毫无戒心的用户访问恶意网页托管代码,从而触发这些安全漏洞。 研究人员发现,使用McRAT远程访问木马在野外感染用户计算机的攻击。 McRAT联系命令和控制服务器,并将其自身复制到Windows操作系统进程中。
Oracle写道,如果成功利用漏洞,“可能会影响用户系统的可用性,完整性和机密性。”
许多更新,如果可以,请禁用
甲骨文于1月中旬和2月初再次对Java进行了更新,并进行了紧急更新,此前有报道称,圣诞节期间出现了一系列影响各个站点的水坑式攻击。 Maurice写道,该公司于2月19日推出了计划的更新,以解决50个错误。这两个错误已于2月1日报告给Oracle,但无法包含在2月19日的更新中。
考虑到下一次计划的Java更新是在4月,该公司决定发布带外补丁,因为该漏洞正在积极地用于攻击中。
“为了帮助维持所有Java SE用户的安全状态,Oracle决定尽快发布针对此漏洞的修复程序以及另一个与之密切相关的bug,” Maurice写道。
Maurice向用户保证,问题仅存在于Web浏览器中运行的Java应用程序中,而不适用于服务器,独立Java桌面应用程序,嵌入式Java应用程序或基于Oracle服务器的软件上运行的Java。 许多安全专家和国土安全部计算机紧急响应小组(CERT)建议,如果用户不定期使用Java插件,请在其浏览器中禁用它。
如果用户需要涵盖绝大多数商业和教育用户的Java,则值得保留一个单独的浏览器,该浏览器安装了Java插件,并使用该浏览器仅访问那些站点。
nCircle安全研究与开发主管Lamar Bailey对安全观察说:“很高兴看到Oracle对关键漏洞做出更快的反应,但是对于他们来说,深入研究Java的安全问题已经过去了。” 他说:“我希望甲骨文已经派出了一支由他们最好的安全工程师组成的团队来主动解决所有剩余的Java安全问题,但是在此之前,用户将在更新AV签名的同时更新Java。”
Java 6于今年2月进入生命周期尽头,引发了人们对甲骨文是否会保留旧版本的担忧。 Oracle在此更新中修补了Java 6,许多用户仍在使用它。 目前尚不清楚Oracle在接下来的几个月中将如何处理Java 6补丁。
Bailey说:“我一直认为Oracle在保护其产品方面做得很好,但是最近出现的Java漏洞使我失去了信心。”他补充说,他现在很想知道Oracle其他产品中存在哪些严重的安全问题。 。
发现更多Java错误
在正在进行的猫和老鼠游戏中,Java更新意味着是时候发布更多漏洞了。 波兰研究公司Security Explorations的负责人Adam Gowdiak发现了另外五个Java 7问题。
“在Java SE 7中发现了五个新的安全性问题(编号为56到60),将它们组合在一起可以成功地在Java SE 7更新15的环境中获得完整的Java安全性沙箱绕过,” Gowdiak在周一的文章中写道。 Bugtraq邮件列表。 Gowdiak说,看来攻击者将能够利用这些问题来破坏Oracle最近实施的一些安全检查。 这五个问题需要一起使用才能使攻击成功。 Gowdiak已经向Oracle提交了详细的信息和概念证明代码。
其中两个问题也可能会影响Java 6,但尚未得到证实。
nCircle安全运营主管Andrew Storms对 SecurityWatch 表示:“事实证明,Java是不断为攻击者提供的礼物。” 他预计将对大型公司和政府实体进行更有针对性的攻击。 他说:“ Java的坏消息只会变得越来越糟,而且没有尽头。”
