Video: Oracle Database Patch (November 2024)
Oracle heeft een noodupdate uitgebracht om een ernstige beveiligingsbug in Java te sluiten die aanvallers al gebruikten om in te breken op gebruikerscomputers.
De out-of-band patch lost de recent ontdekte kritieke kwetsbaarheid in Java 7 van Oracle op, zei Oracle in zijn beveiligingsadvies dat op 13 januari werd vrijgegeven. Gebruikers wordt geadviseerd om onmiddellijk bij te werken naar Java 7 Update 11.
Java 7 Update 11 vermindert zowel CVE-2013-0422 (de nieuwste kwetsbaarheid) als CVE-2012-3174, een oudere bug voor het uitvoeren van externe code die dateert van afgelopen juni. Beide fouten ontvingen een Common Vulnerability Scoring System-beoordeling van 10, de maximaal mogelijke score op deze schaal. In deze patch heeft Oracle de fout opgelost en ook de manier veranderd waarop Java met webapplicaties omging.
"Het standaardbeveiligingsniveau voor Java-applets en webstarttoepassingen is verhoogd van 'gemiddeld' naar 'hoog', zei Oracle in het advies.
Dit betekent dat de gebruiker altijd wordt gevraagd voordat een niet-ondertekende Java-applet of Web Start-toepassing kan worden uitgevoerd. Voorheen werden Java-applets en -applicaties automatisch uitgevoerd als gebruikers de nieuwste versie van Java hadden geïnstalleerd. Met de instelling "hoog" wordt de gebruiker altijd gewaarschuwd voordat een niet-ondertekende toepassing wordt uitgevoerd, zodat aanvallers geen stille aanvallen kunnen starten, zei Oracle.
Out-of-Band patch
Een noodpatch van Oracle is ongebruikelijk. Het bedrijf patcht Java meestal op kwartaalbasis, maar heeft deze out-of-band fix waarschijnlijk uitgegeven omdat de aanvalscode die misbruik maakt van dit beveiligingslek al is toegevoegd aan verschillende populaire exploitkits, waaronder "Blackhole" en "NuclearPack". Crimware-kits maken het voor criminelen gemakkelijker om computers met malware te infecteren en de machines over te nemen voor hun eigen snode doeleinden. Onderzoekers hebben al websites ontdekt die de code uitvoeren, hoewel het op dit moment niet bekend is hoeveel gebruikers al zijn gecompromitteerd.
Oracle bracht eerder afgelopen najaar een out-of-band patch uit nadat onderzoekers een soortgelijke fout in externe uitvoering hadden ontdekt.
Heeft invloed op Java in webbrowsers, niet op Desktop
Het is belangrijk om te onthouden dat de twee kwetsbaarheden voor het uitvoeren van externe code die in deze update zijn opgelost 'alleen van toepassing zijn op Java in webbrowsers omdat ze kunnen worden misbruikt via kwaadaardige browser-applets', Eric Maurice, directeur software security assurance van Oracle op de Oracle Software Security Assurance Blog. Als u niet regelmatig websites bezoekt die Java uitvoeren, is het de moeite waard om de Java-plug-in in uw browser uit te schakelen. Hier zijn de stapsgewijze instructies voor het uitschakelen van Java van Neil Rubenking van SecurityWatch.
Veel desktop-applicaties en populaire games (Minecraft, iemand?) Gebruiken Java, maar de lokale Java-client wordt niet aangevallen.
"Deze kwetsbaarheden hebben geen invloed op Java op servers, Java-desktoptoepassingen of ingesloten Java", schreef Maurice.
