فيديو: Oracle JDK vs OpenJDK: Что же устанавливать начинающему? (سبتمبر 2024)
أصدرت Oracle تحديثًا طارئًا آخر لجافا. هذا هو التحديث الطارئ الثالث الذي أصدرته الشركة في عام 2013 لإصلاح مشكلات الأمان الخطيرة في Java والتي تم استخدامها بالفعل في الهجمات.
قال Oracle في الاستشارات الأمنية الصادرة يوم الاثنين إن آخر التحديثات ، Java 7 update 17 و Java 6 update 43 ، تناولت CVE-2013-1493 وما يتصل بها من ثغرة أمنية (CVE-2013-0809). تؤثر كلتا الثغرات الأمنية على المكون ثنائي الأبعاد في Java SE ، والذي يتعامل مع رسومات وقت التشغيل وكيفية تقديم الصور ، وفقًا لنشر مدونة من Eric Maurice ، مدير ضمان أمان البرمجيات في Oracle.
وقالت الشركة إنه يجب على جميع مستخدمي Java الترقية فورًا إلى أحدث الإصدارات.
وكتب أوراكل: "قد تكون هذه الثغرات الأمنية قابلة للاستغلال عن بعد دون مصادقة ، أي قد يتم استغلالها عبر شبكة دون الحاجة إلى اسم مستخدم وكلمة مرور".
وقال أوراكل إن المهاجمين يمكنهم خداع المستخدمين المطمئنين إلى زيارة رمز استضافة صفحة ويب ضارة مما يؤدي إلى حدوث عيوب أمنية. اكتشف الباحثون هجمات في البرية تصيب أجهزة الكمبيوتر المستخدم مع وصول McRAT عن بعد طروادة. تتصل McRAT بخوادم الأوامر والتحكم وتنسج نفسها في عمليات نظام التشغيل Windows.
وكتبت شركة أوراكل إن المستغلين ، إذا نجحوا ، "يمكن أن يؤثروا على توافر نظام المستخدم وتكامله وسريته".
الكثير من التحديثات ، قم بتعطيل إذا استطعت
قام Oracle بتحديث Java في منتصف يناير ومرة أخرى في مطلع فبراير بتحديثات طارئة بعد ظهور تقارير خلال عيد الميلاد عن سلسلة من الهجمات على نمط الري المائي التي تؤثر على مواقع مختلفة. قامت الشركة بطرح تحديث مجدول يتناول 50 من الأخطاء في 19 فبراير. تم الإبلاغ عن هذين الخطأين إلى Oracle في 1 فبراير ، ولكن تعذر تضمينه في تحديث 19 فبراير ، وفق ما كتبه موريس.
النظر في التحديث القادم لجافا كان في أبريل ، قررت الشركة إصدار تصحيح خارج النطاق لأن الخلل كان يستخدم بنشاط في الهجمات.
وكتب موريس: "من أجل المساعدة في الحفاظ على الموقف الأمني لجميع مستخدمي Java SE ، قررت أوراكل إصدار إصلاح لهذه الثغرة الأمنية وأخطاء أخرى وثيقة الصلة بأسرع ما يمكن".
أكد موريس للمستخدمين أن المشكلات موجودة فقط في تطبيقات Java التي تعمل في متصفحات الويب ، ولا تنطبق على Java التي تعمل على الخوادم ، أو تطبيقات Java المكتبية المستقلة ، أو تطبيقات Java المضمنة ، أو البرامج المستندة إلى خادم أوراكل. يوصي العديد من خبراء الأمن وفريق الاستجابة للطوارئ بالكمبيوتر التابع لوزارة الأمن الداخلي (CERT) بأن يقوم المستخدمون بتعطيل مكون Java الإضافي في متصفحاتهم إذا لم يستخدموه بانتظام.
إذا كان المستخدم يحتاج إلى Java ، والذي يغطي الغالبية العظمى من مستخدمي الأعمال والتعليم ، فإنه يستحق الاحتفاظ بمستعرض منفصل مع تثبيت المكون الإضافي Java ، واستخدام هذا المتصفح للوصول إلى تلك المواقع فقط.
وقال لامار بيلي ، مدير البحث والتطوير الأمني في nCircle ، لـ SecurityWatch: "من الجيد أن نرى أوراكل يستجيب بشكل أسرع لثغرات أمنية حرجة ، ولكن الوقت قد فات قبل أن يقوموا بالغوص في قضايا أمن جافا". وقال "آمل أن يكون Oracle قد قام بالفعل بتعيين فريق من أفضل مهندسي الأمن لديهم لسحق أي من مشكلات أمان Java المتبقية بشكل استباقي ، ولكن حتى ذلك الحين سيقوم المستخدمون بتحديث Java بقدر ما يقومون بتحديث تواقيع AV".
دخلت Java 6 في نهاية عمرها الافتراضي في فبراير هذا العام ، مما أثار مخاوف بشأن ما إذا كانت أوراكل ستترك الإصدار القديم غير مسبوق. Oracle Patched Java 6 في هذا التحديث ، والذي لا يزال يستخدم من قبل العديد من المستخدمين. ليس من الواضح كيف ستتعامل Oracle مع تصحيحات Java 6 خلال الأشهر القليلة المقبلة.
وقال بيلي: "اعتقدت دائمًا أن Oracle قام بعمل جيد في تأمين منتجاتها ، لكن الطفرة الأخيرة في نقاط الضعف في Java تسبب لي في فقدان الثقة" ، مضيفًا أنه يتساءل الآن عن نوع المشاكل الأمنية الخطيرة في منتجات Oracle الأخرى..
العثور على مزيد من البق جافا
في لعبة القط والفأر المستمرة ، يعني تحديث Java أن الوقت قد حان لمزيد من عمليات الكشف عن الثغرات الأمنية. وجد آدم جودياك ، رئيس شركة الأبحاث البولندية Security Explorations ، خمسة إصدارات أخرى من Java 7.
"تم اكتشاف خمس مشكلات أمنية جديدة في Java SE 7 (مرقمة من 56 إلى 60) ، والتي عندما يتم دمجها معًا يمكن استخدامها بنجاح للحصول على تجاوز كامل لأمان رمل الأمان في بيئة تحديث Java SE 7 15" ، كتب غودياك يوم الاثنين على Bugtraq القائمة البريدية. يبدو أن المهاجمين سيكونون قادرين على استخدام القضايا لكسر بعض عمليات الفحص الأمني التي نفذتها أوراكل مؤخراً ، على حد قول جودياك. جميع القضايا الخمس تحتاج إلى أن تستخدم معا من أجل نجاح الهجوم. قدمت Gowdiak بالفعل معلومات مفصلة ورمز إثبات صحة الفكرة إلى Oracle.
قد تؤثر مشكلتان أيضًا على Java 6 ، لكن لم يتم تأكيد ذلك.
وقال أندرو ستورمز ، مدير العمليات الأمنية في nCircle ، لـ SecurityWatch: "لقد أثبتت Java أنها الهدية التي تواصل تقديمها للمهاجمين". وتوقع المزيد من الهجمات المستهدفة ضد الشركات الكبرى والجهات الحكومية. وقال "الأخبار السيئة مع جافا تزداد سوءا وليس هناك نهاية في الأفق".
