周日,Oracle发布了一个紧急Java更新,以修补两个关键的漏洞,其中一个已经被正在进行和加速的攻击所利用。
此外,昨天,一名针对揭示爪哇虫错误的研究人员认为,甲骨文应该已经修复了去年的缺陷。
“带外”更新补丁了一对漏洞——识别为CVE-2013-0422和CVE-2012-3174——使用Java 7 update 11。
上周有消息证实,甲骨文决定在正常时间表之外发布紧急安全更新,这是该公司自2012年8月以来首次这样做几个臭名昭著的网络犯罪套件正在利用Java中的“零日”或未修补的漏洞。
周四,美国计算机紧急准备小组的到来增加了甲骨文公司的压力(us - cert)美国国土安全部(DHS)的下属机构,敦促用户禁用Java.在他们的Web浏览器中。
一些浏览器制造商没有等待,但在自己的手中致敬。星期五,Mozilla将Java 7添加到其“点击播放”黑名单,意味着用户必须明确同意在Firefox中运行Java插件。Mozilla首次推出Click to Play inFirefox 17,在去年11月推出。
Oracle对客户很清楚,他们需要立即更新Java 7。
“由于这些漏洞的严重性、技术细节的公开披露以及CVE-2013-0422‘在野外’的开发报告,Oracle强烈建议客户尽快应用该安全警报提供的更新。公司的通知阅读。
在一个星期天博客帖子,Oracle软件安全保证集团主任Eric Maurice承认克里姆斯套件正在利用一个或多个错误。“有些爆炸在黑客工具中可以使用,”莫里斯说。
然而,围绕Java bug仍然存在一些混乱。
尽管甲骨文(Oracle)和包括US-CERT和杀毒软件公司赛门铁克(Symantec)在内的其它公司表示,这些漏洞只影响到Java 7,但其它公司反驳了这种说法。豁免公司的分析(下载)的结论是,在当前利用的漏洞中,至少有一个漏洞——众所周知,攻击代码依赖于两个漏洞——也存在于Java 6的某些版本中,该版本定于下个月退休。
波兰安全公司security Explorations的创始人兼首席执行官亚当•高迪亚克(Adam Gowdiak)发现了大量Java漏洞,并向甲骨文报告了这些漏洞。他在周日表示,他仍坚持此前的指控,即甲骨文在修补补丁方面疏忽了。
根据Gowdiak,CVE-2013-0422应该在他在同一代码部分中告诉Oracle的oracle之后,CVE-2013-0422最后倒下了。Oracle在10月发布了一个安全更新,该安全更新修补了报告的漏洞Gowdiak。
但是甲骨文本应该做更多的调查工作,高迪亚克在theBugtraq上周安全邮件列表。然后,他称甲骨文的努力“不够全面”。
周日,他为这一指控进行了辩护。“我们完全支持我们最近的声明,”高迪亚克在电子邮件中说。“零日攻击代码,在野外发现的形式,如果问题32已经被Oracle在2012年10月Java SE CPU正确解决,将不可能。”
“Issue 32”是安全探索对其声称存在于与CVE-2013-0422相同Java功能中的漏洞的命名法。
甲骨文没有回应记者的置评请求。但它并没有把CVE-2013-0442的报告归功于Gowdiak,而是承认了一位名叫Ben Murphy的研究员,他通过HP TippingPoint和它的零日倡议赏金计划提交了这个漏洞。
除了周日发布的Java 7更新,Oracle还修改了Java 7,使其自动重置为“高”安全级别。在此设置下,Java会在用户运行未签名的Java applet之前通知用户。
“将在运行Applet之前通知访问恶意网站的毫无戒心的用户,并将获得拒绝执行可能恶意小程序的能力,”Oracle的Maurice写道。
Java 7更新11可从甲骨文的网站下载的Windows, OS X和Linux。Windows用户还可以依赖自动更新工具来检索和安装补丁版本。可以找到所有可用下载的链接这一页。
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer,或订阅格雷格的RSS提要。他的电子邮件地址是gkeizer@ix.netcom.com。
阅读更多关于恶意软件和漏洞在计算机世界的恶意软件和漏洞主题中心。
这个故事,“甲骨文冲补丁来压制Java bug”最初发表的《计算机世界》 。