Biztonsági hibás a Java telepítője

Az Oracle biztonsági okok miatt frissítette a Java telepítőjét, ami mint kiderült eddig tetszőleges kódok futtatására is lehetőséget adhatott.
 
Az Oracle január közepén adta ki a negyedéves biztonsági közleményét, amiben több mint 200 sebezhetőségről számolt be. Ezek egy része a Java kapcsán merült fel. Akkor azonban még nem lehetett tudni, hogy nem kizárólag a Javával van probléma, hanem annak telepítőjével is. Ráadásul abban egy magas veszélyességi besorolású biztonsági résre derült fény, amely elérte azt a kockázati szintet, ami miatt soron kívüli frissítést kellett kiadni.
 
Az Oracle tájékoztatása szerint a Java telepítője egy olyan sérülékenységet tartalmaz, amely DLL állományokkal való visszaélésekre adhat módot. Amikor a Java installálása megkezdődik, akkor általában a letöltések mappába bekerülnek ártalmatlan DLL fájlok, amik szükségesek a telepítéshez. A problémát az jelenti, hogy ha egy támadónak sikerül elérnie, hogy a saját, kártékony DLL állománya telepítés előtt bekerüljön ebbe a mappába, akkor a Java telepítő szó nélkül azt is betölti a memóriába.
 
„Mivel a sérülékenység kizárólag a telepítési folyamat során használható ki, ezért a már korábbi Java példányok frissítésére nincs szükség" - nyilatkozta Eric Maurice, az Oracle szakértője. Majd hozzátette, hogy akik viszont korábban letöltötték a Java valamely telepítőjét, és azt még használni szeretnék (főleg rendszergazdákról, üzemeltetőkről van szó), akkor mihamarabb célszerű lecserélni a telepítőket a Java 6u113, 7u97 vagy 8u73 verziókra.
 
Érdemes megjegyezni, hogy egy hasonló sérülékenység a VirtualBox telepítőjét is sújtotta, de azt a januári frissítések alkalmával már sikerült orvosolni.
Vélemények
 
  1. 3

    A Linux Kernel legutóbb feltárt sebezhetősége jogosultsági szint emelést segíthet elő.

  2. 4

    A Microsoft Remote Desktop Client for Mac jogosulatlan távoli kódfuttatáshoz járulhat hozzá.

  3. 3

    A Cisco Email Security Appliance egy biztonsági hibajavítást kapott.

 
Partnerhírek
Hirdetési bannerek pixeleiben rejtőző kártevő

Az ESET kutatói fertőzött hirdetéseken keresztül terjedő új expolit kitet fedeztek fel. Az érintett oldalak között neves, több millió napi látogatóval bíró weboldalak is megtalálhatók.

Új vezetőkkel bővül a Balabit menedzsmentje

Peter O’Neill globális kereskedelmi, míg Matthew Ravden marketing igazgatóként csatlakozott a Balabit csapatához.

hirdetés
Közösség
1