Не дождавшись февраля, когда Oracle должна по плану закрыть все накопившиеся уязвимости в JDK, компания выпустила внеплановый апдейт Java SE Development Kit 7, Update 11 (JDK 7u11). Этот апдейт должен решить проблему с недавно обнаруженным эксплойтом, который использует новую 0day-уязвимость через Java-плагин в браузере.

Новая версия JDK 7u11 закрывает упомянутую уязвимость CVE-2013-0422, а также ещё одну критическую уязвимость CVE-2012-3174, известную с 6 июня 2012 года. В качестве дополнительной защиты, новый JDK идёт с настройкой безопасности High для Java-апплетов и приложений Web Start, вместо прежнего значения по умолчанию Medium.

Эта настройка определяет условия, при которых возможно исполнение неподписанных апплетов в песочнице. С прежней настройкой они запускались как обычные апплеты, а теперь перед запуском пользователь увидит предупреждение. Таким образом, считает компания Oracle, решена проблема с незаметным запуском эксплойтов через браузер пользователя.

Одновременно выпущено обновление для Java Runtime Environment (JRE) 6 (билд 1.6.0_37), JRE 5.0 (билд 1.5.0_38) и JRE 1.4.2 (билд 1.4.2_40).

После установки нового билда компания Oracle рекомендует снова включить плагин Java в браузере. Совет актуален в том числе для пользователей Safari и Firefox, которым плагин Java централизованно отключили компания Apple и Mozilla, соответственно.

Выпустив апдейт намного раньше запланированного срока, компания Oracle обесценила труд авторов эксплойтов. Но, по большому счёту, проблемы с безопасностью Java остаются. По мнению некоторых экспертов, чтобы закрыть все известные на сегодняшний день уязвимости в десктопной версии Java, компании Oracle понадобится около двух лет. «На данный момент безопаснее всего предположить, что Java всегда будет уязвимой. На самом деле, людям она не нужна на десктопе», — сказал известный хакер HD Moore, директор по безопасности компании Rapid7.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии