Oracle patches mehrere Java-Zero-Day-Löcher, erhöht die Standardsicherheit

Letzte Woche entdeckte ein Forscher mit dem Namen “kafeine” eine Reihe von Websites, die eine Zero-Day-Schwachstelle in Java 7 Update 10 missbraucht haben. In der Wildnis wurde die Ausbeutung von mehreren anderen bestätigt und einer Sicherheitslücke identifiziert CVE-2013-0422.

Die Anfälligkeit, die potenziell mehr als 850 Millionen PCs gefährden könnte, war ernst genug, um separate Warnungen von der US-Regierung, Apple und Mozilla zu gewährleisten, von denen jede entweder selbst Maßnahmen zur Deaktivierung von Java-Plug-ins ergab oder den Nutzern nicht empfohlen wurde Verwenden Sie die Software.

Der Oracle Software Security Assurance Director, Eric Maurice, schreibt heute auf einem der Oracle Security-Blogs, dass der neueste Patch des Unternehmens auf Java 7 Update 11 CVE-2013-0422, aber auch CVE-2012-3174 verringert.

Laut Oracle, der letztgenannte, “leicht ausnutzbare Sicherheitsanfälligkeit ermöglicht erfolgreiche nicht authentifizierte Netzwerkangriffe über mehrere Protokolle”, und dass ein “erfolgreicher Angriff dieser Sicherheitsanfälligkeit kann dazu führen, dass nicht autorisierte Betriebssystem-Übernahme, einschließlich der willkürlichen Codeausführung.

Wie CVE-2013-0422 beeinflusst es auch Java 7 Update 10 und früher. In ähnlicher Weise erhielt es auch die maximale CVSS-Punktzahl (Common Vulnerability Scoring System) von 10.

Zwar gibt es keine weiteren Details für CVE-2012-3174, die Mitre Common Vulnerability and Exposures-Datenbank zeigt, dass die Kennung wurde am 6. Juni vergeben. CVE-Bezeichner können zugeordnet und reserviert werden, bevor eine Schwachstelle bekannt ist, aber sie werden in der Regel innerhalb einer kurzen Zeit der Reservierung verwendet. Zum Vergleich: CVE-2013-0422 wurde am 7. Dezember vergangenes Jahr, ungefähr einen Monat, bevor es zuerst von Forschern entdeckt wurde.

Java 7 Update 11 bringt auch eine andere Änderung Rindfleisch bis die Sicherheit, die bereits in Java existiert. Mit dem neuesten Patch wird die Standard-Java-Sicherheitsstufe von mittel bis hoch geändert. Dies führt dazu, dass der Benutzer immer aufgefordert wird, ein Java-Applet oder eine Web Start-Anwendung auszuführen, wenn es nicht signiert ist.

Benutzer, die Java 7 Update 10 weiterhin ausführen, werden von Oracle empfohlen, um sofort auf Java 7 Update 11 zu aktualisieren oder folgen Sie den Empfehlungen der Deinstallation der Software, wenn dies nicht erforderlich ist. Hat die Website einen Leitfaden für Benutzer vorbereitet, die Java in ihrem Browser auf Windows und Macs deaktivieren möchten.

Für diejenigen, die die Software benötigen, sollte Java in-built Updater sollten Benutzer zu aktualisieren, aber weitere Patch Notes und Ressourcen für Administratoren mit Java-Entwicklungs-Kit sind von Oracle-Website verfügbar.

? M2M Markt springt zurück in Brasilien

FBI verhaftet angebliche Mitglieder von Crackas mit Haltung für das Hacken US gov’t Beamte

WordPress fordert Benutzer auf jetzt zu aktualisieren kritische Sicherheitslücken zu aktualisieren

Innovation, M2M-Markt springt zurück in Brasilien, Sicherheit, FBI verhaftet angebliche Mitglieder von Crackas mit Attitude für Hacking US gov’t Beamten, Security, WordPress fordert die Nutzer jetzt zu aktualisieren kritische Sicherheitslücken, Sicherheit, White House ernennt erste Bundesoberhäuptling Sicherheitsbeauftragter

White House ernennt ersten Chief Information Security Officer