42 hibát foltozott be a Javában az Oracle
A héten megjelent a Java legújabb frissítése, amelyet mindenkinek ajánlott telepítenie, mivel 42 biztonsági sebezhetőséget foltoztak be benne, ebből 39 tesz lehetővé azonosítás nélküli távoli kódfuttatást.
Az április Java-frissítés is masszívra sikerült, az Update 21 keretében nem kevesebb mint 42 hibát foltozott be az Oracle. A javított sebezhetőségek közül 39 tesz lehetővé autentikáció nélküli távoli kódfuttatást. 10 sérülékenység a lehető legmagasabb Common Vulnerability Scoring System (CVSS) pontszámot kapta, további 9 pedig 7 felettit - ezeket némileg nehezebb kihasználni az Oracle szerint.
A Java 7 Update 21 egyik legfontosabb újdonsága az appletek futtathatóságát érinti. A Java 7 Update 17 óta a felhasználók egy csúszkán határozhatták meg az általuk megkívánt biztonsági szintet. Eddig létezett olyan beállítás, amely mellett az appletek automatikusan elindultak, ezt azonban biztonságilag annyira aggályosnak találta az Oracle, hogy megszüntette: mostantól minden applet indítása előtt a felhasználó kifejezett hozzájárulását kéri a futtatókörnyezet.
2025: neked mennyi pénzt ér meg a home office? Itt vannak az IT munkaerőpiaccal kapcsolatos 2025-ös prognózisaink.
Az appletek indítása kapcsán kétféle biztonsági figyelmeztetéssel találkozhatnak a felhasználók. Egy érvényes tanúsítvánnyal rendelkező alkalmazás indításakor csak a Java logó jelenik meg a tanúsítvány legfontosabb részleteivel, egy nem hiteles aláírással, saját aláírással rendelkező vagy aláírás nélküli applet esetén azonban egy sárga háromszögben felkiáltójel is látható - az ilyen appletek futtatása egyáltalán nem javasolt.
Az ellenőrzés azonban nem teljes: korábban is gyakori módszere volt a bűnözőknek alkalmazásaikat érvényüket vesztett, visszavont tanúsítványokkal hitelesíteni, a Java futtatókörnyezet pedig alapból nem ellenőrzi ezeket, ezt külön kell engedélyezni a Java Control Panelben az "Enable online certification validation" és a "Check certificates for revocation using certificate revocation Lists (CRLs)" menüpontokban az "Advanced" fülön. Feltehetően egy későbbi frissítésben ezeket a képességeket alapértelmezetten bekapcsolja majd az Oracle.
Az Oracle nem csak a Java 7-et frissítette, hanem meglepő módon kiadott egy csomagot a Java 6-hoz is. A Java 6 Update 45-ben a Java 7 Update 21-ben is megtalálható sebezhetőségeket javította ki a vállalat. A lépés azért érdekes, mert a jelenleg elérhető legfrissebb dokumentumok szerint 2013 februárját követően több frissítés nem érkezik a Java 6-hoz.