В Java SE 6 Update 19 исправлено 27 уязвимостей

31.03.2010 13:21

Компания Oracle выпустила девятнадцатое обновление Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6, в котором зафиксировано 27 исправлений, направленных на устранение проблем безопасности. Одновременно выпущены обновления JDK 5.0 Update 23 и SDK 1.4.2_25, доступные только для платформы Solaris, для остальных платформ при использовании устаревших версий Java предлагается использовать пакет Java for Business с продленным временем поддержки (время жизни ветки Java 5 истекло осенью прошлого года).

Большинство из исправленных уязвимостей имеет умеренный или незначительный характер опасности, но к сожалению не обошлось и без критических проблем. Например:

Ошибка в реализации класса "HeadspaceSoundbank" может привести к исполнению кода злоумышленника при попытке обработки Soundbank-файла со специально оформленным длинным именем или некорректным заполнением полей внутри файла.
Переполнение буфера в коде обработки изображений может быть использовано злоумышленниками для организации выполнения кода вне виртуальной машины при открытии пользователем web-страницы, содержащей специально оформленный Java-апплет.
Несколько опасных уязвимостей найдено в коде подсистем ImageIO, Java 2D, JRE, Java Web Start, Java Plug-in, Pack200, Sound и HotSpot Server, к сожалению подробности об их сущности не разглашаются.
Уязвимость в компонентах Java Web Start и Java Plug-in позволяет произвести DoS-атаку или осуществить манипулирование некоторым видом данных;
Две уязвимости в Java Runtime Environment позволяют получить доступ к закрытой информации;

Кроме уязвимостей в новой версии обновлены корневые (root) сертификаты: удалены три старых сертификата, добавлено семь новых, пять сертификатов были заменены на версии с более высокой степенью защиты (VeriSign, Thawte и GeoTrust). Усилена безопасность java машины при запуске приложений, которые содержат как подписанный, так и неподписанный код. Начиная с этой версии, при запуске таких приложений пользователь будет оповещен.

Дополнение: исправление аналогичных уязвимостей доступно для проектов OpenJDK 1.6.0 и GNU IcedTea6 (почти сразу вышел релиз IcedTea6 1.7.3 с исправлением еще одной уязвимости).

исправить +3 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/26028-Java

Ключевые слова: Java, jdk

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, Iv946n (?), 14:06, 31/03/2010 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У меня с недавного времени jqs.exe стал периодично раз в 7 секунд на 3 секунды отжирать весь проц (цифры примерные ессно). Вот думаю, не поэксплуатировал ли кто наконец (в жизни на бывало) какую уязвимость и не встроил ли мою Жабу в ботнет какой... AVG Antivirus и SpyBot S&D ничего не нашли.

2.2, Anon (?), 14:20, 31/03/2010 [^] [^^] [^^^] [ответить]	+/–
Сравните контрольные суммы вашего jqs.exe файла с эталонным.

2.3, Frank (??), 17:41, 31/03/2010 [^] [^^] [^^^] [ответить]	–7 +/–
Если вы не пользуетесь ява-программами, снесите яву, и проблема исчезнет. Если пользуетесь - подумайте, а не отказаться ли от этих программ :)

3.4, anonymous (??), 19:08, 31/03/2010 [^] [^^] [^^^] [ответить]	+1 +/–
А если снести всю систему, то никаких проблем вообще не появятся. Достаточно снести jqs без которого можно спокойно жить.

4.10, User294 (ok), 02:22, 01/04/2010 [^] [^^] [^^^] [ответить]	+/–
Все так, но чем больше в системе барахла - тем больше с ним проблем, в общем то. Как бы чем больше кода - тем больше в нем багов. Гарантия стопроцентная. Во всяком случае, еще никто не смог воротить мегазы кода и не наделать там багов.

3.5, Diogene the Open Source programmer (?), 19:14, 31/03/2010 [^] [^^] [^^^] [ответить]	+/–
Оло-ло - ты советы для мони к жабе не примеряй! :) Уже есть некоторое количество программ, от которых отказаться трудновато. Ынтерпрайзных - так целый поезд, там всё без вариантов, но даже на столе у красноглазых найдётся. К примеру мне будет неуютно без Эклипса. Скорее забью на возможность огрести, чем снесу ... да, знаю - игла и всё такое :)

4.6, pavel_simple (ok), 19:32, 31/03/2010 [^] [^^] [^^^] [ответить]	+/–
>Оло-ло - ты советы для мони к жабе не примеряй! :) > >Уже есть некоторое количество программ, от которых отказаться трудновато. Ынтерпрайзных - так >целый поезд, там всё без вариантов, но даже на столе у >красноглазых найдётся. К примеру мне будет неуютно без Эклипса. Скорее забью >на возможность огрести, чем снесу ... да, знаю - игла и >всё такое :) дык нет -- не игла -- давно уж есть OpenJDK и http://harmony.apache.org/, которые не нарушаю лицензию можно поставлять _вместе_ со своим ПО. Учитывая гготовность вышеназванных в 98-99%% смена политики лицензирования Oracle'ом на Jаva крайне маловероятна.

5.7, Diogene the Open Source programmer (?), 20:55, 31/03/2010 [^] [^^] [^^^] [ответить]	+/–
>давно уж есть OpenJDK и http://harmony.apache.org/ И да и нет. Вот прямо сейчас - не упёрлись они четь более чем полностью :) Но если ларри начнёт быковать - возможно это ВНЕЗАПНО станет тем что называбт "жаба". А пока жаба - это Sun Java без вариантов (дисклаймер - у голубых это не так:)

6.9, pavlinux (ok), 22:02, 31/03/2010 [^] [^^] [^^^] [ответить]	+/–
http://www.ibm.com/developerworks/java/jdk/linux/download.html

3.12, Iv946n (?), 03:19, 01/04/2010 [^] [^^] [^^^] [ответить]	+/–
Спасибо, кэп :-) Я что, похож на человека, который не пользуется Java-программами? Я каждый день пишу в NetBeans, организую задачи и мысли в XMind (который давно стал жизненно-важным органом) и банк-клиент у меня на Java.

1.8, iZEN (ok), 21:03, 31/03/2010 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>Большинство из исправленных уязвимостей имеет умеренный или незначительный характер опасности,

По ссылке: Criticality level Highly critical

>но к сожалению не обошлось и без критических проблем.

Сюда и надо добавлять ссылку.

2.11, User294 (ok), 02:25, 01/04/2010 [^] [^^] [^^^] [ответить]	–1 +/–
А кой-кто некоторе время назад удивлялся - чего это я не хочу яву в браузере юзать? Наверное потому что у браузеров своих проблем достаточно и сверх того досыпать вот такого счастья совсем не обязательно ;)

3.13, Iv946n (?), 03:23, 01/04/2010 [^] [^^] [^^^] [ответить]	–1 +/–
>А кой-кто некоторе время назад удивлялся - чего это я не хочу >яву в браузере юзать? Ребе не разрешает, вестимо. Каждому своё, и религия из этого правила не исключение.

3.14, iZEN (ok), 21:53, 01/04/2010 [^] [^^] [^^^] [ответить]	–1 +/–
>А кой-кто некоторе время назад удивлялся - чего это я не хочу >яву в браузере юзать? Наверное потому что у браузеров своих проблем >достаточно и сверх того досыпать вот такого счастья совсем не обязательно >;) Ты JavaScript от Java не отличаешь что ли?

4.15, User294 (ok), 04:39, 02/04/2010 [^] [^^] [^^^] [ответить]	+/–
Отличаю. А почему вы спрашиваете? :) ЗЫЖ ваша любимая "безопасная" технология - дырява однако. При том понимаю если б это было исклюением, но это - именно правило.

5.16, iZEN (ok), 08:57, 02/04/2010 [^] [^^] [^^^] [ответить]	+/–
Это "ваша" технология дырява, а не "наша". "Переполнение буфера в коде обработки изображений" — фирменная фишка C/C++, а не Java.

6.17, User294 (ok), 03:30, 03/04/2010 [^] [^^] [^^^] [ответить]	+1 +/–
Так зачем же C и C++ тогда юзать если они такие плохие? :) Кроме того я всегда думал что дырява не технология а програмерские мозги прежде всего. Не переполнения буфера - так еще чтонить найдется. Вон в веб-приложениях нет переполнений буферов. Зато иных классов уязвимостей - как грязи. Сильно полегчало?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: