Oracle udgiver nye Java-løsninger, forbedrer patchcyklus

Oracle udgivet nye Java-sikkerhedsopdateringer tirsdag og meddelte planer om at fremskynde udgivelsen af ​​fremtidige Java-patches efter de seneste angreb, som har inficerede computere med malware ved at udnytte sårbarheder i nul dags i Java-pluginprogrammer.

De nye opdateringer, Java 7 Update 15 og Java 6 Update 41, adresserer yderligere fem sårbarheder, der ikke kunne medtages i den aktuelle Java-opdatering at Oracle udgivet den 1. februar på grund af tidsbegrænsninger. På det tidspunkt brød Oracle ud af sin planlagte 4-måneders Java-patchcyklus for at patchere en sårbarhed, der blev udnyttet af hackere.

Fire af de fem sårbarheder, der blev adresseret i tirsdag opdateringerne, kan udnyttes via Java Web Start Applikationer på desktops og Java-applets i internetbrowsere, Eric Maurice, Oracles softwareassurancechef, sagde tirsdag i et blogindlæg.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Tre af de fire sårbarheder modtaget den højeste vurdering på skalaen Common Vulnerability Scoring System - 10 - hvilket betyder, at de er kritiske og kan udnyttes for fuldstændigt at kompromittere fortroligheden, integriteten og tilgængeligheden af ​​systemer, hvor Java kører med administratorrettigheder, såsom Windows XP. På systemer, hvor Java ikke kører med administrative rettigheder, som Linux eller Solaris, er effekten lavere, siger Maurice.

Den femte sårbarhed påvirker serverudbredelser af Java Secure Socket Extension (JSSE) og stammer fra Lucky Thirteen-angrebet mod SSL / TLS implementeringer, som sikkerhedsforskere offentliggjorde tidligere denne måned.

Selv om den nye Java 6 Update 41 er tilgængelig til download fra Oracle's hjemmeside, er den ikke tilgængelig fra Java.com og skal indhentes manuelt. Opdateringsfunktionen i Java 6-installationer vil bede brugerne om at downloade og installere Java 7 Update 15.

Dette var et planlagt træk fra Oracle, som tidligere annoncerede på sin websitet, at det vil "starte automatisk opdatering af alle Windows 32-bit brugere fra JRE 6 til JRE 7 med opdateringsversionen af ​​Java, Java SE 7 Update 15 (Java SE 7u15), der udløber i februar 2013. "

Oracle vil fremskynde sin patchcyklus til Java. "Oracle har til hensigt at fortsætte med at fremskynde frigivelsen af ​​Java-rettelser, især for at hjælpe med at løse sikkerhedsværdigheden af ​​Java Runtime Environment (JRE) i stationære browsere," sagde Maurice.

Den næste planlagte kritiske patchopdatering til Java SE vil udgives den 16. april, to måneder fra nu i stedet for fire, og kommer samtidig med Critical Patch Update til Oracles ikke-Java-produkter. Den næste opdatering af Java-patch efter det er planlagt til 18. juni.