周日Oracle发布了紧急Java更新,以修补两个关键漏洞,包括在持续和加速攻击中被剥削的一个关键漏洞。
此外,昨天,一名针对揭示爪哇虫错误的研究人员认为,甲骨文应该已经修复了去年的缺陷。
“带外”更新修补了一对漏洞 - 标识为CVE-2013-0422和CVE-2012-3174 - Java 7更新11。
在Oracle正常时间表之外发布紧急安全更新的决定 - 该公司自2012年8月开始的第一次是由上周确认的触发几个臭名昭着的网络犯罪套件正在利用Java的“零日”或未分割的漏洞。
周四在美国计算机紧急准备队伍周四的压力增加(美国证书),美国国土安全部的一部分(DHS),敦促用户禁用Java.在他们的网络浏览器中。
一些浏览器制造商没有等待,但在自己的手中致敬。星期五,Mozilla将Java 7添加到其“点击播放”黑名单,这意味着用户必须明确同意在Firefox内运行Java插件。Mozilla首次亮相点击播放Firefox 17.,在去年11月推出。
Oracle对客户很清楚,他们需要立即更新Java 7。
“由于这些漏洞的严重性,公开披露了技术细节和普遍存在的CVE-2013-0422'的开发,”Oracle强烈建议客户尽快将该安全警报提供的更新“,”该公司的警报读。
在一个星期天博客帖子,Oracle软件安全保证集团主任Eric Maurice承认克里姆斯套件正在利用一个或多个错误。“有些爆炸在黑客工具中可以使用,”莫里斯说。
然而,一些混乱仍然包围了Java错误。
虽然Oracle和其他人 - 包括US-Cert和Antivirus Company Symantec - 但表示,漏洞只影响Java 7,其他人已经反驳了这一索赔。Immunity Inc.的分析(下载PDF.例如,总结说,至少在当前利用中杠杆的错误 - 通过所有帐户,攻击代码依赖于两个漏洞 - 也存在于一些版本的Java 6,该版本下个月为退休。
波兰安全公司安全探索的创始人兼首席执行官兼宣传了众多Java漏洞并向甲骨文报告给Oracle,他在周日表示,他先前的指责甲骨文陷入困境,甲骨文与其补丁黯然失色。
根据Gowdiak,CVE-2013-0422应该在他在同一代码部分中告诉Oracle的oracle之后,CVE-2013-0422最后倒下了。Oracle在10月发布了一个安全更新,该安全更新修补了报告的漏洞Gowdiak。
但甲骨文应该做得更多的调查工作,Gowdiak争夺一条消息Bugtraq.安全邮寄清单上周。然后,他称甲骨文的努力“不够全面”。
在星期天,他捍卫了这一指控。“我们最近通过我们发出的索赔来整体,”Gowdiak在一封电子邮件中说。“零天攻击代码,在野外发现的表单中,如果Oracle于2012年10月在Java SE CPU的情况下正确解决了问题32,则不会有可能。”
“问题32”是安全探索'漏洞的命名法,它竞争中的竞争对手与CVE-2013-0422相同的Java函数。
Oracle没有回复评论请求。但是,没有报告CVE-2013-0442的信用Gowdiak,它承认了一位名叫Ben Murphy的研究员,他们通过HP TippingPoint和零日倡议赏金计划提交了这一错误。
随着Java 7更新11,oracle还修改了Java 7,使其自动重置为“高”安全级别。在该设置,Java在他们可以在运行未签名的Java applet之前通知用户。
“将在运行Applet之前通知访问恶意网站的毫无戒心的用户,并将获得拒绝执行可能恶意小程序的能力,”Oracle的Maurice写道。
Java 7更新11可以从Oracle的Windows,OS X和Linux下载。Windows用户还可以依靠自动更新工具来检索和安装修补版本。可以找到与所有可用下载的链接这一页。
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer.或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@ix.netcom.com.。
阅读有关恶意软件和漏洞的更多信息在Computerworld的恶意软件和漏洞主题中心。
这个故事,“Oracle赶紧修补quash关键的java bug”最初是发布的Computerworld. 。