Oracle наконец выпускает Java 6 (обновление 24)

by Опубликовано

В начале февраля были обнаружены критические уязвимости Java, которые затронули Java Runtime Environment и Java Development Kit. Уязвимые версии были JRE 6 с обновлением 23 и более ранними во всех поддерживаемых операционных системах. Вместо того, чтобы сразу выпустить исправление безопасности, Oracle решила сначала выпустить инструмент командной строки, чтобы исправить уязвимость (см. Обновление Java устраняет критическую уязвимость системы безопасности). В то же время они отметили, что «инструмент FPUpdater не предназначен для использования в системах, управляемых через автоматическое обновление, так как это отключит автоматические обновления в будущем», что оставило пользователям выбор: оставить свою систему уязвимой или исправить ее и нарушение автоматических обновлений.

Oracle сегодня выпустила критическое обновление Java 6 Update 24. Обновление устраняет несколько критических уязвимостей, включая обнаруженную ранее уязвимость, которая приводит к зависанию при синтаксическом анализе строк типа «2.2250738585072012e-308» до двоичных чисел с плавающей запятой.

В матрица рисков показывает список всех 21 исправлений безопасности, включенных в обновление, с информацией о затронутых версиях Java, векторе доступа и возможности их удаленного использования.

Из этих 21 уязвимости 13 влияют на развертывание клиентов Java. 12 из этих 13 уязвимостей могут быть использованы через ненадежные приложения Java Web Start и ненадежные Java-апплеты, которые запускаются в изолированной программной среде Java с ограниченными привилегиями. Одна из этих 13 уязвимостей может быть использована при запуске отдельного приложения.

Кроме того, одна из клиентских уязвимостей затрагивает Java Update, компонент Windows.

3 из 21 уязвимости влияют на развертывание клиентов и серверов. Эти уязвимости могут быть использованы с помощью ненадежных приложений Java Web Start и ненадежных Java-апплетов, а также могут быть использованы путем передачи вредоносных данных в API в указанных компонентах, например, через веб-службу.

3 уязвимости влияют только на развертывание сервера Java. Эти уязвимости могут быть использованы путем предоставления вредоносных данных API в указанных компонентах Java. Обратите внимание, что одна из этих уязвимостей (CVE-2010-4476) была предметом предупреждения системы безопасности, выпущенного 8 февраля.

Наконец, одна из этих уязвимостей специфична для Java DB, компонента Java JDK, но не включена в Java Runtime Environment (JRE).

(через)

Системные администраторы и пользователи, у которых установлена ​​Java в форме Java Runtime Environment (JRE) или Java Development Kit (JDK), должны обновить программное обеспечение. как можно скорее для защиты своих систем от возможных эксплойтов.

Пользователям, которые применили исправление для командной строки вручную, необходимо удалить Java, прежде чем они смогут установить новую обновленную версию.

Смотрите так же:

  1. Согласно отчету Mozilla, более 80% недовольны интерфейсом Firefox Australis.
  2. Несколько интересных советов / приемов Linux
  3. Первый взгляд на Aol Reader
  4. Автозапуск приложений, если включен Caps Lock

Опубликовано