Η Oracle κυκλοφορεί επείγουσα επιδιόρθωση για εκμετάλλευση μηδενικών μηνυμάτων Java

"Αυτά τα τρωτά σημεία μπορούν να αξιοποιηθούν εξ αποστάσεως χωρίς έλεγχο ταυτότητας, δηλαδή να μπορούν να αξιοποιηθούν μέσω δικτύου χωρίς την ανάγκη για όνομα χρήστη και κωδικό πρόσβασης ", ανέφερε η εταιρεία σε μια ειδοποίηση ασφαλείας. "Για να είναι επιτυχής μια εκμετάλλευση, ένας ανυποψίαστος χρήστης που εκτελεί μια απελευθέρωση που επηρεάζεται από ένα πρόγραμμα περιήγησης πρέπει να επισκεφτεί μια κακόβουλη ιστοσελίδα που αξιοποιεί αυτά τα τρωτά σημεία. Η επιτυχημένη εκμετάλλευση μπορεί να επηρεάσει τη διαθεσιμότητα, την ακεραιότητα και την εμπιστευτικότητα του συστήματος του χρήστη. "

Οι πρόσφατα κυκλοφορήσεισες ενημερώσεις χτύπησαν το Java στις εκδόσεις 7 Update 17 (7u17) και 6 Ενημέρωση 43 (6u43), παρακάμπτοντας τα 7u16 και 6u42 για λόγους που δεν ήταν άμεσα σαφείς.

Η Oracle σημειώνει ότι η Java 6u43 θα είναι η τελευταία διαθέσιμη στο κοινό ενημερωμένη έκδοση για Java 6 και συμβουλεύει τους χρήστες να αναβαθμίσουν σε Java 7. η δημόσια διαθεσιμότητα των ενημερώσεων Java 6 υποτίθεται ότι τελείωσε με την έκδοση 6 της Java 6, που κυκλοφόρησε στις 19 Φεβρουαρίου, αλλά φαίνεται ότι η εταιρεία έκανε μια εξαίρεση για αυτήν την ενημερωμένη έκδοση κώδικα έκτακτης ανάγκης.

Η ευπάθεια CVE-2013-1493 έχει αξιοποιηθεί επιτιθέμενους από τουλάχιστον την περασμένη Πέμπτη, όταν ερευνητές από την εταιρεία ασφαλείας FireEye ανακάλυψαν επιθέσεις που την χρησιμοποίησαν για να εγκαταστήσουν ένα κομμάτι malware απομακρυσμένης πρόσβασης που ονομάζεται McRAT. Ωστόσο, φαίνεται ότι η Oracle γνώριζε την ύπαρξη αυτής της αστοχίας από τις αρχές Φεβρουαρίου

"Αν και αναφέρθηκαν πρόσφατα αναφορές ενεργούς εκμετάλλευσης της ευπάθειας CVE-2013-1493, το bug αυτό αναφέρθηκε αρχικά στην Oracle την 1η Φεβρουαρίου 2013, δυστυχώς πολύ αργά για να συμπεριληφθεί στην έκδοση της κρίσιμης ενημερωμένης έκδοσης κώδικα για την Java SE από την 19η Φεβρουαρίου », δήλωσε ο Eric Maurice, διευθυντής της διασφάλισης λογισμικού της Oracle, σε δημοσίευση στο blog της Δευτέρας.

Η εταιρεία είχε προγραμματίσει να διορθώσει το CVE- 1493 στην επόμενη προγραμματισμένη ενημερωτική έκδοση κώδικα Java στις 16 Απριλίου, είπε ο Maurice. Ωστόσο, επειδή η ευπάθεια άρχισε να γίνεται εκμετάλλευση από τους εισβολείς, η Oracle αποφάσισε να κυκλοφορήσει μια ενημερωμένη έκδοση κώδικα νωρίτερα.

Τα δύο τρωτά σημεία που αντιμετωπίζονται με τις τελευταίες ενημερώσεις δεν επηρεάζουν την Java που εκτελείται σε διακομιστές, αυτόνομες εφαρμογές Java ή ενσωματωμένες εφαρμογές Java, Είπε ο Μορίς. Συνιστάται στους χρήστες να εγκαταστήσουν τα patches το συντομότερο δυνατόν

Οι χρήστες μπορούν να απενεργοποιήσουν την υποστήριξη για περιεχόμενο Java που βασίζεται στο Web από την καρτέλα ασφαλείας στον πίνακα ελέγχου Java, εάν δεν χρειάζονται Java στο Web. Οι ρυθμίσεις ασφαλείας για ένα τέτοιο περιεχόμενο έχουν ρυθμιστεί σε υψηλή από προεπιλογή, πράγμα που σημαίνει ότι οι χρήστες καλούνται να εξουσιοδοτήσουν την εκτέλεση των μικροεφαρμογών Java που δεν έχουν υπογράψει ή έχουν υπογραφεί αυτόνομα μέσα στα προγράμματα περιήγησης.

Αυτό έχει σχεδιαστεί για να αποτρέψει την αυτοματοποιημένη εκμετάλλευση τρωτών σημείων Java Web, αλλά λειτουργεί μόνο αν οι χρήστες είναι σε θέση να λάβουν τεκμηριωμένες αποφάσεις σχετικά με τα οποία applets να εγκρίνουν και τα οποία να μην. "Προκειμένου να προστατευθούν οι ίδιοι, οι χρήστες της επιφάνειας εργασίας θα πρέπει να επιτρέπουν την εκτέλεση των μικροεφαρμογών μόνο όταν προσδοκούν τέτοιες μικροεφαρμογές και εμπιστεύονται την προέλευσή τους", ανέφερε ο Maurice