Oracle ha rilasciato gli aggiornamenti di sicurezza per Java SE e Java per il business che risolvono diverse vulnerabilità, alcune delle quali permettono agli aggressori di prendere il controllo del computer. L'aggiornamento risolve un totale di 21 vulnerabilità in JDK e JRE 6 Update 23 e precedenti, JDK 5.0 Update 27 e precedenti, e SDK 1.4.2_29 e precedenti. Diciannove dei difetti possono essere sfruttati da remoto senza la necessità di autenticazione e può influenzare la riservatezza, l'integrità e la disponibilità dei dati a vari livelli.
Otto vulnerabilità portano il più alto punteggio possibile CVSS di base 10,0, il che significa che hanno un impatto critico e può essere sfruttato per eseguire codice arbitrario. L'impatto è maggiore su Windows che su Linux o Solaris, perché di default di Java viene eseguito con privilegi amministrativi per il primo. Vulnerabilità normalmente nominale con 10.0, hanno un punteggio di 7,5 se Java viene eseguito con un utente non-admin. Sfruttando le falle di minori impatto che non consentono l'esecuzione di codice arbitrario, gli aggressori possono ancora accedere a informazioni sensibili, aggirare le restrizioni o la negazione di innescare condizioni di servizio.
Le vulnerabilità sono causate da errori in una vasta gamma di componenti, tra cui le distribuzioni, Deployment, Sound, Swing, HotSpot, Install, JAXP, 2D, JDBC, Launcher, Networking, XML Digital Signature, and Security. Oracle non distribuisce o sfrutta il codice "proof-of-concept" per mostrare le vulnerabilità del prodotto. Oracle effettua una prima analisi delle vulnerabilità di sicurezza indirizzata da un Critical Patch Update (CPU). Oracle non divulga le informazioni circa l'analisi di sicurezza, ma la risultante matrice di rischio e la relativa documentazione fornisce informazioni circa il tipo di vulnerabilità, le condizioni di sfruttamento, e il risultato potenziale di successo di un exploit. Oracle fornisce queste informazioni, in parte, in modo che i clienti possono effettuare le loro analisi di rischio proprio sulla base dei dati del loro uso del prodotto.
Per una questione di politica, Oracle non fornisce informazioni dettagliate sull'exploit o i risultati che possono essere utilizzati per sfruttarlo e condurlo con successo. A causa della minaccia rappresentata da un attacco riuscito, Oracle raccomanda vivamente ai clienti di applicare le correzioni CPU al più presto possibile. Fino a quando non verranno applicate le correzioni CPU, potrebbe ridursi il rischio di attacco con successo, limitando i protocolli di rete necessari per un attacco. Per gli attacchi che richiedono privilegi di alcuni o l'accesso a certi pacchetti, eliminando i privilegi o la possibilità di accedere ai pacchetti da parte di utenti non privilegiati possono contribuire a ridurre il rischio di attacco con successo.
Entrambi gli approcci possono interrompere la funzionalità delle applicazioni, in tal modo Oracle raccomanda vivamente ai clienti di testare le modifiche sui non-productions systems. Né l'approccio deve essere considerato una soluzione a lungo termine, in quanto non risolve il problema di fondo. Per i clienti che hanno saltato uno o più avvisi di sicurezza, si prega di consultare precedenti avvisi per determinare le azioni appropriate. Le seguenti persone o organizzazioni hanno segnalato vulnerabilità affrontate da questo Critical Patch Update di Oracle: Afik Castiel da Versafe per la lotta antifrode; Rios Billy di Google; binaryproof via Tipping Point Zero Day Initiative; binaryproof via iDefense, Dmitri Gribenko;
Eduardo Vela Nava di Google; Hoguin Frederic via Tipping Point Zero Initiative Day; Schoenefeld Marc di Red Hat, Peter Csepely via Tipping Point Zero Initiative Day; Hay Roee di IBM Rational Gruppo di ricerca di sicurezza delle applicazioni; Koivu Sami via Tipping Point Zero Initiative Day, Stefano Di Paola di sicurezza Minded; e Tom Hawtin. Gli utenti sono invitati ad aggiornare a Java Runtime Environment 6 Update 24 immediatamente, soprattutto perché Java è attualmente l'applicazione più mirata in attacchi drive-by download. L'ultima versione di Java SE JRE può essere scaricata dal sito ufficiale di Oracle.
Nessun commento:
Posta un commento