Oracle udgiver nødhjælp til Java-nuldag udnyttelse

Oracle udlod nødopdateringer til Java på mandag for at løse to kritiske sårbarheder, hvoraf den ene udnyttes aktivt af hackere i målrettede angreb.

Sårbarhederne, der er identificeret som CVE- 2013-1493 og CVE-2013-0809, er placeret i 2D-komponenten i Java og modtaget den højest mulige effekt score fra Oracle.

"Disse sårbarheder kan udnyttes eksternt uden godkendelse, dvs. de kan udnyttes via et netværk uden brug af brugernavn og adgangskode, "sagde firmaet i en sikkerhedsalarm. "For at en udnyttelse skal lykkes, skal en intetanende bruger, der kører en berørt udgave i en browser, besøge en ondsindet webside, der udnytter disse sårbarheder. Succesfulde udnyttelser kan påvirke tilgængeligheden, integriteten og fortroligheden af ​​brugerens system. "

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

De nyligt udgivne opdateringer støtter Java til versioner 7 Opdatering 17 (7u17) og 6 Opdatering 43 (6u43), spring over 7u16 og 6u42 af grunde, der ikke var umiddelbart klare.

Oracle bemærker, at Java 6u43 er den sidste offentligt tilgængelige opdatering til Java 6 og råder brugerne til at opgradere til Java 7. Den Den offentlige tilgængelighed af Java 6-opdateringer skulle afsluttes med Java 6 Update 41, udgivet den 19. februar, men det ser ud til, at firmaet har lavet en undtagelse for dette nødlap.

CVE-2013-1493 sårbarheden er aktivt udnyttet af angriberne siden i det mindste sidste torsdag, da forskere fra sikkerhedsfirma FireEye opdagede angreb ved at bruge det til at installere et stykke fjernadgangs malware kaldet McRAT. Det ser imidlertid ud til, at Oracle var opmærksom på denne fejls eksistens siden begyndelsen af ​​februar.

"Selvom rapporter om aktiv udnyttelse af sårbarhed CVE-2013-1493 for nylig blev modtaget, blev denne fejl oprindeligt rapporteret til Oracle den 1. februar 2013, desværre for sent til at blive medtaget i den 19. februar udgivelsen af ​​Critical Patch Update for Java SE ", sagde Eric Maurice, Oracle's software security manager i et blogindlæg mandag.

Virksomheden havde planlagt at reparere CVE-2013- 1493 i den næste planlagte Java Critical Patch Update den 16. april, sagde Maurice. Men fordi sårbarheden begyndte at blive udnyttet af angribere, besluttede Oracle at frigive en patch hurtigere.

De to sårbarheder, der blev behandlet med de seneste opdateringer, påvirker ikke Java, der kører på servere, frittstående Java-desktopprogrammer eller indlejrede Java-applikationer, Sagde Maurice. Brugere rådes til at installere patcherne hurtigst muligt, sagde han.

Brugere kan deaktivere support til web-baseret Java-indhold fra sikkerhedsfanen i Java-kontrolpanelet, hvis de ikke har brug for Java på internettet. Sikkerhedsindstillingerne for sådant indhold er som standard angivet som høje, hvilket betyder, at brugerne bliver bedt om at godkende udførelsen af ​​Java-applets, der er usignerede eller selvsignerede i browsere.

Dette er designet til at forhindre den automatiske udnyttelse af Java sårbarheder over Web, men fungerer kun, hvis brugerne er i stand til at træffe velinformerede beslutninger om hvilke applets at autorisere og hvilke ikke. "For at beskytte sig selv bør desktopbrugere kun tillade udførelsen af ​​applets, når de forventer sådanne applets og stoler på deres oprindelse," sagde Maurice.