Video: How to install Java 6/7/8 in Ubuntu Linux (November 2024)
Oracle heeft nog een noodupdate voor Java uitgegeven. Dit is de derde noodupdate die het bedrijf in 2013 heeft uitgebracht om gapende beveiligingsproblemen in Java op te lossen die al bij aanvallen werden gebruikt.
De nieuwste updates, Java 7 update 17 en Java 6 update 43, hebben betrekking op CVE-2013-1493 en een gerelateerde kwetsbaarheid (CVE-2013-0809), zei Oracle in zijn beveiligingsadvies dat maandag werd vrijgegeven. Beide kwetsbaarheden zijn van invloed op de 2D-component van Java SE, die runtime-afbeeldingen afhandelt en hoe afbeeldingen worden weergegeven, volgens een blogpost van Eric Maurice, software security assurance director bij Oracle.
Alle Java-gebruikers moeten onmiddellijk upgraden naar de nieuwste versies, aldus het bedrijf.
"Deze kwetsbaarheden kunnen op afstand worden geëxploiteerd zonder authenticatie, d.w.z. ze kunnen via een netwerk worden geëxploiteerd zonder dat een gebruikersnaam en wachtwoord nodig zijn, " schreef Oracle.
Aanvallers kunnen nietsvermoedende gebruikers ertoe verleiden een kwaadaardige webpagina te hosten die code host die deze beveiligingsfouten veroorzaakt, aldus Oracle. Onderzoekers ontdekten aanvallen in het wild die gebruikerscomputers infecteren met de McRAT Trojan voor externe toegang. McRAT neemt contact op met command-and-control-servers en kopieert zichzelf naar de Windows-besturingssysteemprocessen.
Gebruikt, indien succesvol, "kan de beschikbaarheid, integriteit en vertrouwelijkheid van het systeem van de gebruiker beïnvloeden", schreef Oracle.
Veel updates, zo mogelijk uitschakelen
Oracle heeft Java half januari en begin februari geüpdatet met noodupdates nadat er tijdens Kerstmis berichten waren verschenen over een reeks aanvallen in de stijl van een waterput die verschillende sites trof. Het bedrijf heeft op 19 februari een geplande update voor 50 bugs uitgerold. Deze twee bugs zijn op 1 februari aan Oracle gerapporteerd, maar konden niet worden opgenomen in de update van 19 februari, schreef Maurice.
Aangezien de volgende geplande Java-update in april plaatsvond, besloot het bedrijf een out-of-band patch uit te brengen omdat de fout actief werd gebruikt bij aanvallen.
"Om de beveiliging van alle Java SE-gebruikers te helpen behouden, besloot Oracle zo snel mogelijk een oplossing voor deze kwetsbaarheid en een andere nauw verwante bug uit te brengen", schreef Maurice.
Maurice verzekerde gebruikers dat de problemen alleen aanwezig zijn in Java-applicaties die in webbrowsers draaien, en niet op Java die op servers draait, op zichzelf staande Java-desktopapplicaties of embedded Java-applicaties of op Oracle-server gebaseerde software. Veel beveiligingsexperts en het Department of Homeland Security Computer Emergency Response Team (CERT) bevelen gebruikers aan de Java-plug-in in hun browsers uit te schakelen als ze deze niet regelmatig gebruiken.
Als de gebruiker Java nodig heeft, wat een grote meerderheid van zakelijke en educatieve gebruikers omvat, is het de moeite waard om een aparte browser te houden met de Java-plug-in geïnstalleerd en die browser te gebruiken om alleen die sites te openen.
"Het is goed om te zien dat Oracle sneller reageert op kritieke kwetsbaarheden, maar het is veel te laat voor hen om dieper in te gaan op de beveiligingsproblemen van Java, " vertelde Lamar Bailey, directeur van beveiligingsonderzoek en -ontwikkeling bij nCircle, aan SecurityWatch . "Ik hoop dat Oracle al een team van hun beste beveiligingsingenieurs heeft toegewezen om proactief alle resterende Java-beveiligingsproblemen op te lossen, maar tot die tijd zullen gebruikers Java bijwerken zo vaak als ze AV-handtekeningen bijwerken, " zei hij.
Java 6 is in februari aan het einde van de levensduur gekomen, met bezorgdheid over de vraag of Oracle de oudere versie niet gepatched zou laten. Oracle heeft Java 6 gepatcht in deze update, die nog steeds door veel gebruikers wordt gebruikt. Het is niet duidelijk hoe Oracle de komende maanden met patches voor Java 6 zal omgaan.
"Ik heb altijd gedacht dat Oracle hun producten goed heeft beveiligd, maar de recente uitbarsting van Java-kwetsbaarheden zorgt ervoor dat ik het vertrouwen verlies, " zei Bailey, eraan toevoegend dat hij zich nu afvraagt wat voor ernstige beveiligingsproblemen er zijn in de andere producten van Oracle.
Meer Java-bugs gevonden
In een doorlopend spel van kat en muis betekent een Java-update dat het tijd is voor meer kwetsbaarheden. Adam Gowdiak, hoofd van het Poolse onderzoeksbureau Security Explorations, vond nog vijf Java 7-problemen.
"Er zijn vijf nieuwe beveiligingsproblemen ontdekt in Java SE 7 (genummerd 56 tot 60), die in combinatie met succes kunnen worden gebruikt om een complete bypass van de Java-beveiligingssandbox te verkrijgen in de omgeving van Java SE 7-update 15, " schreef Gowdiak maandag op de Bugtraq mailinglijst. Het lijkt erop dat aanvallers de problemen kunnen gebruiken om enkele van de beveiligingscontroles die Oracle onlangs heeft geïmplementeerd, te verbreken, zei Gowdiak. Alle vijf problemen moeten samen worden gebruikt om de aanval te laten slagen. Gowdiak heeft al gedetailleerde informatie en proof-of-concept-code bij Oracle ingediend.
Twee van de problemen kunnen ook Java 6 beïnvloeden, maar dat is nog niet bevestigd.
"Java bewijst het geschenk te zijn dat blijft geven aan aanvallers, " zei Andrew Storms, directeur van beveiligingsoperaties bij nCircle, tegen SecurityWatch . Hij voorspelde meer gerichte aanvallen op grote bedrijven en overheidsinstanties. "Het slechte nieuws met Java wordt alleen maar erger en er is geen einde in zicht", zei hij.
