Oracle fremskynder en anden Java-opdatering og fastsætter 50 sårbarheder

Efter afsløring af sikkerhedsforskere af sårbarheder i den sidste opdatering af Java, der blev udgivet i januar, har Oracle skyndte sig ud for at planlægge en anden pakke af rettelser til programmeringssproget.

Den seneste opdatering, der oprindeligt var planlagt til udgivelse i februar 19, indeholder 50 sikkerhedsrettelser til 49 fejl, som kunne udnyttes eksternt uden tilladelse. Det betyder, at de kan bruges på et netværk uden kendskab til et brugernavn og en adgangskode.

Oracle sagde det opdateret tidligt, fordi en af ​​de sårbarheder, der blev behandlet i opdateringen, allerede udnyttes i naturen.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

"På grund af truslen fra et vellykket angreb anbefaler Oracle stærkt, at kunderne anvender CPU-rettelser hurtigst muligt," advarsel firmaet i en opdateringsrådgivende.

Oracle skyndte sig ud en sikkerhed fix for Java i januar efter Department of Homeland Security's Computer Emergency Readiness Team (US-CERT) anbefalede softwaren være deaktiveret af alle dets brugere på grund af sikkerhed bekymringer. Disse bekymringer involverede en Zero Day-sårbarhed, der udnyttes af værktøjer, der er oprettet af cyberkriminelle og plejede at stjæle følsomme oplysninger fra computere.

Selv efter udgivelsen af ​​denne rettelse, Java 7-opdatering 11, anbefalede agenturet stadig at slukke for Java, medmindre det var absolut nødvendigt.

Det viste sig hurtigt, at 7u11 fixet havde savnet sit mærke. Bare dage efter udgivelsen begyndte en hacker at kaste i det online sorte marked et par nye Java Zero Day sårbarheder for $ 5000 hver.

Andre hackere, som måske manglede evnerne til at finde sårbarheder, begyndte at udnytte overskrifterne om Java's elendigheder ved at montere phishing ekspeditioner tilbyder falske opdateringer af Oracle programmeringssprog. Efter installation af en bruger installerer den falske opdatering en bagdør til et system, der gør det muligt for en hacker at styre den.

Fejl fundet i opdatering

Java's uheld fortsatte da senere i måneden Security Explorations, et polsk sikkerhedsfirma med en historie om at finde sikkerhedsfejl i Java, opdagede nye sårbarheder i opdateringen 7u11, der kunne udnyttes for at undgå programmets sandkasse - en programmeringsteknik, der bruges til at isolere den skade, ondsindet kode kan gøre for et system.

"Disse problemer vil fortsætte indtil Oracle løser sandkassen, "sagde Bitdefender Senior E-Threat Analyst Bogdan Botezatu i et interview.

Botezatu var kritisk over, hvor meget Oracle relied satte på brugere for at opretholde sikkerhed i opdateringen 7u11.

For eksempel opdateringen Sæt som standard det højeste sikkerhedsniveau for Java. På det niveau, når en usigneret Java-applet forsøger at køre i en browser, vises en meddelelse, der advarer en bruger om, at appen kan være farlig, og at brugeren skal gå på egen risiko.

Normalt ignorerer brugerne sådanne advarsler fordi de finder dem irriterende. Det gælder især børn, der spiller Java-spil på nettet-en kendsgerning, påpeger Botezatu, ikke tabt på digitale desperader. "Jeg har set mange websteder, der kører Java-malware på sider, der er optimeret med søgeord rettet mod børn," sagde han.

Med den nyeste Java-opdatering kan Oracle forsøge at ændre lykken med programmet. Det ser ud til at have hoppet over opdatering 12 i nummereringsordningen og udpeget det seneste bundle af rettelser Java 7 update 13.