r   e   k   l   a   m   a
r   e   k   l   a   m   a

Java 7 Update 21: Oracle usuwa kolejne dziesiątki luk i nakłada ograniczenia na aplety

Strona główna Aktualności

Co się dzieje z tą Javą? Jedyne prawdziwie multiplatformowe środowisko uruchomieniowe dla aplikacji, działające na trzech miliardach urządzeń, z armią ponad dziewięciu milionów programistów, nie może wyjść z kłopotów związanych z bezpieczeństwem. Oracle dwoi się i troi, wydając kolejne zbiory łatek, a mimo to liczba poważnych zagrożeń jakoś nie maleje. Coraz więcej osób decyduje się po prostu usunąć Javę ze swoich systemów, uznając, że wcale jej tak na dobrą sprawę nie potrzebuje, JRE stanowi tylko dodatkową powierzchnię ataku.

Wczoraj Oracle opublikowało kolejny zbiór łatek – Java 7 Update 21, eliminujący 42 podatności, z których aż 39 potencjalnie pozwalałoby napastnikom na przejęcie kontroli nad systemem, a 19 z nich otrzymało w bazie CVSS (Common Vulnerability Scoring System) ocenę 10 – przyznawaną najpoważniejszym zagrożeniom. Odkryte podatności dotyczą nie tylko najnowszej Javy, ale też i jej starszych wersji, w tym Javy 5 (Update 41) i Javy 6 (Update 43). Jeśli przyjrzeć się bliżej liście zmian, to widać, że powtarza się stary schemat – najwięcej problemów przysparza podsystem grafiki 2D, pozostałe luki rozsiane są po takich komponentach jak JavaFX, Deployment i Libraries.

Jedną z recept na ograniczenie zagrożeń związanych z webową wtyczką Javy, uruchamiającą aplety w oknie przeglądarki, jest zwiększenie poziomu restrykcji w Java Control Panel. Od zeszłego roku użytkownicy mogą kontrolować ustawienia bezpieczeństwa za pomocą suwaka – od niskich po bardzo wysokie. Z najnowszym zbiorem łatek ustawienia „niskie” zostają usunięte – nie będzie już można uruchamiać niepodpisanych apletów Javy bez wywołania ostrzeżenia; aplet taki będzie mógł zostać uruchomiony w maszynie wirtualnej dopiero po wyrażeniu przez użytkownika zgody. Jedynym sposobem na uniknięcie tej niedogodności jest podpisanie apletu kluczem wystawionym przez uznany urząd certyfikacyjny (CA).

Wprowadzono też dwa typy ostrzeżeń dla apletów: okno dialogowe dla podpisanego apletu zawiera teraz logo Javy i szczegóły certyfikatu, podczas gdy okno dialogowe wyświetlane przy próbie uruchomienia apletu bez podpisu, z podpisem nieważnym, lub wystawionym samodzielnie, prowadzi do wyświetlenia ostrzeżenia z ostrzegawczym wykrzyknikiem na trójkątnej tarczy, wskazującym, że aplet nie powinien być uruchamiany.

Oracle nie zadbało jednak o jedną ważną sprawę – wciąż Java nie sprawdza, czy certyfikaty nie zostały czasem wycofane, a przecież znane są egzemplarze złośliwego oprogramowania, podpisane skradzionymi, a następnie wycofanymi kluczami. Sam fakt podpisania apletu nie powinien oznaczać, że użytkownik ma mu ufać, z drugiej strony Oracle zapewne chciało uniknąć sytuacji, w której każdy aplet generowałby ostrzegawcze komunikaty. W praktyce wyeliminowałoby to tę schyłkową już raczej technologię webową z Sieci.

Nie można jednak przejść obojętnie wobec takich zagrożeń. W lutym tego roku korporacyjne sieci firm takich jak Facebook, Twitter czy Apple zostały spenetrowane właśnie za pomocą nieznanej wcześniej luki 0-day we wtyczce Javy. Strat nie udało się ustalić, ale poszkodowani przyznali się do swojej wpadki i zawiadomili organy ścigania. Podejrzewa się, że za atakiem stoją hakerzy z Chin, ale oczywiście nic nikomu nie udowodniono.

Na Javie problemy Oracle'a się nie kończą – oprócz Update 21 wydano także ponad setkę innych poprawek do produktów takich jak Oracle HTTP Server, WebLogic, WebCenter, Oracle Fusion Middleware czy biznesowego oprogramowania z linii PeopleSoft czy SupplyChain. Sądząc po komentarzach w Sieci, użytkownicy nie wydają się szczególnie szczęśliwi z tego powodu – stary, żartobliwy i niecenzuralny klip wideo o pomocy technicznej Oracle'a wydaje się aktualny jak nigdy dotąd.

Najnowszą wersję Javy możecie pobrać z naszego działu Programy.

r   e   k   l   a   m   a
© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.