Компания Oracle представила (http://www.oracle.com/technetwork/java/javase/downloads/inde...) очередные корректирующие выпуски JavaSE - Java SE 7 Update 5 (http://www.oracle.com/technetwork/java/javase/7u-relnotes-51...) и Java SE 6 Update 33 (http://www.oracle.com/technetwork/java/javase/releasenotes-1...), в которых устранено 14 уязвимостей (http://www.oracle.com/technetwork/topics/security/javacpujun...), 6 из которых присвоен максимальный уровень опасности, связанный с возможностью выхода за пределы виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленных апплетов.
12 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. Для одной уязвимости сложность доступа определена как высокая, для одной как средняя и для 12 как низкая. Известно, что 3 уязвимости в Deployment Toolkit, по одной в JRE, Hotspot VM, 2D-подсистеме, Swing, одна JAXP, CORBA, библиотеках, сетевой подсистеме и системе обеспечения безопасности.Одновременно выпущены (http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2012-J...) обновления IcedTea6 1.10.8 и 1.11.31.11.1, полностью открытой реализации Java SE 6, построенной на базе OpenJDK и виртуальной машины HotSpot, с использованием свободных средств сборки. В новой версии устранено 12 уязвимостей.
URL: http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2012-J...
Новость: http://www.opennet.me/opennews/art.shtml?num=34092
Ждём-с 1.11.33.11.1 нумера? :-)
Тот же флэш только в правой руке.
сравнил флеш и язык на котором держится мир
эта... - английский что-ли ?
Уязвимости сыпятся как из Рога Изобилия. Прям как у коллег из Адоба.
Ну врят-ли вы где-то увидете клиент-банк на флеше. В схожих сегментах Java стандарт де-факто.
Поржал.
> Поржал.Я теперь тоже.
Скорее рыночная экономика. Где-то в Северной Корее и в государстве о котором тут плохо говорить нельзя нужны другие вещи.
Достаточно в браузере указать, для каких сайтов я доверяю самостоятельный запуск плагинов.
В моей опере это делается из коробки. Назначил нужным сайтам "надо" и глобально включил "не надо".
Бухгалтеры больше не ловят баннер на сайте с рецептами кексов.
> Достаточно в браузере указать, для каких сайтов я доверяю самостоятельный запуск плагинов.
> В моей опере это делается из коробки. Назначил нужным сайтам "надо" и
> глобально включил "не надо".
> Бухгалтеры больше не ловят баннер на сайте с рецептами кексов.Удалил все плагины из браузера. Банеры не ловятся нигде!
> Удалил все плагины из браузера. Банеры не ловятся нигде!Удалил все плагины из браузера бухгалтеров и больше не работаешь нигде!
Да уж, типичный сис-админ. Решение проблемы "отрубанием головы". Хотя, конечно, и IT и бухгалтерия поддерживающие процессы. Небось программистам, если такие имеются плагигы не отрубали?:)
> Да уж, типичный сис-админ. Решение проблемы "отрубанием головы". Хотя, конечно, и IT
> и бухгалтерия поддерживающие процессы. Небось программистам, если такие имеются плагигы
> не отрубали?:)Удалалил все плагины из браузера себе. Смысла то в них, кроме дырок?
<сарказм>links - наше все!</сарказм>
<ирония>нет же, наже всё - весёлые фермы и банковские клиенты на activex и java-апплетах</ирония>
> Достаточно в браузере указать, для каких сайтов я доверяю самостоятельный запуск плагинов.А если удалить нафиг яву и флеш - то уж точно дырок не будет. Вообще, с таким подходом вы однажды получите вашим бухам очередной подарок типа троянца для iBANK, ну разве что вы будете юзать какой-то совсем нонеймовый браузер на каком-нибудь qnx, чтобы даже кастомная атака на ваших бухов стала дико дорогой и нецелесообразной :)
О, Эпла в этот раз даже вовремя обновила. Прогресс.
Где скачать исходники для java 6 update 33?