Обновление Java SE 6 Update 33 и Java SE 7 Update 5 с устранением критических уязвимостей

13.06.2012 14:28

Компания Oracle представила очередные корректирующие выпуски JavaSE - Java SE 7 Update 5 и Java SE 6 Update 33, в которых устранено 14 уязвимостей, 6 из которых присвоен критический уровень опасности, связанный с возможностью выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.

12 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. Для одной уязвимости сложность доступа определена как высокая, для одной как средняя и для 12 как низкая. Известно, что 3 уязвимости в Deployment Toolkit, по одной в JRE, Hotspot VM, 2D-подсистеме, Swing, одна JAXP, CORBA, библиотеках, сетевой подсистеме и системе обеспечения безопасности.

Детали, касающиеся уязвимостей не раскрываются компанией Oracle, но в системе отслеживания ошибок компании Red Hat имеются сведения по нескольким опасным проблемам:

Ошибка в Swing-библиотеке SynthLookAndFeel может привести к доступу к внешним GUI-элементам, что может быть использовано для обхода sandbox-ограничений;
Проблемы с проверкой правил доступа в HotSpot JVM позволяют специально оформленному классу выйти за пределы ограничений изолированного окружения;
Ошибка в менеджере шрифтов, позволяет выполнить код в системе при загрузке специально скомпонованного файла с шрифтом;
Проблема в CORBA позволяет обратиться к ресурсам вне виртуальной машины.

Одновременно выпущены обновления IcedTea6 1.10.8 и 1.11.31.11.1, полностью открытой реализации Java SE 6, построенной на базе OpenJDK и виртуальной машины HotSpot, с использованием свободных средств сборки. В новой версии устранено 12 уязвимостей.

исправить +2 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/34092-java

Ключевые слова: java

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (19)

1.2, Мишутка (?), 14:55, 13/06/2012 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Ждём-с 1.11.33.11.1 нумера? :-)

1.3, Аноним (-), 15:06, 13/06/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Тот же флэш только в правой руке.

2.4, evgeny_t (ok), 15:15, 13/06/2012 [^] [^^] [^^^] [ответить]	+1 +/–
сравнил флеш и язык на котором держится мир

3.6, Аноним (-), 15:20, 13/06/2012 [^] [^^] [^^^] [ответить]	+6 +/–
эта... - английский что-ли ?

3.7, Аноним (-), 15:23, 13/06/2012 [^] [^^] [^^^] [ответить]	+/–
Уязвимости сыпятся как из Рога Изобилия. Прям как у коллег из Адоба.

3.12, Аноним (-), 16:28, 13/06/2012 [^] [^^] [^^^] [ответить]	+/–
Ну врят-ли вы где-то увидете клиент-банк на флеше. В схожих сегментах Java стандарт де-факто.

3.15, Аноним (-), 16:54, 13/06/2012 [^] [^^] [^^^] [ответить]	–4 +/–
Поржал.

4.17, Аноним (-), 19:58, 13/06/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> Поржал. Я теперь тоже.

3.16, Аноним (-), 17:46, 13/06/2012 [^] [^^] [^^^] [ответить]	–2 +/–
Скорее рыночная экономика. Где-то в Северной Корее и в государстве о котором тут плохо говорить нельзя нужны другие вещи.

1.5, Аноним (-), 15:19, 13/06/2012 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Достаточно в браузере указать, для каких сайтов я доверяю самостоятельный запуск плагинов. В моей опере это делается из коробки. Назначил нужным сайтам "надо" и глобально включил "не надо". Бухгалтеры больше не ловят баннер на сайте с рецептами кексов.

2.8, Аноним (-), 15:24, 13/06/2012 [^] [^^] [^^^] [ответить]	+3 +/–
> Достаточно в браузере указать, для каких сайтов я доверяю самостоятельный запуск плагинов. > В моей опере это делается из коробки. Назначил нужным сайтам "надо" и > глобально включил "не надо". > Бухгалтеры больше не ловят баннер на сайте с рецептами кексов. Удалил все плагины из браузера. Банеры не ловятся нигде!

3.9, G.NercY.uR (?), 15:33, 13/06/2012 [^] [^^] [^^^] [ответить]	+7 +/–
> Удалил все плагины из браузера. Банеры не ловятся нигде! Удалил все плагины из браузера бухгалтеров и больше не работаешь нигде!

3.14, Аноним (-), 16:42, 13/06/2012 [^] [^^] [^^^] [ответить]	+2 +/–
Да уж, типичный сис-админ. Решение проблемы "отрубанием головы". Хотя, конечно, и IT и бухгалтерия поддерживающие процессы. Небось программистам, если такие имеются плагигы не отрубали?:)

4.18, Аноним (-), 20:05, 13/06/2012 [^] [^^] [^^^] [ответить]	+/–
> Да уж, типичный сис-админ. Решение проблемы "отрубанием головы". Хотя, конечно, и IT > и бухгалтерия поддерживающие процессы. Небось программистам, если такие имеются плагигы > не отрубали?:) Удалалил все плагины из браузера себе. Смысла то в них, кроме дырок?

5.19, ... (?), 01:30, 14/06/2012 [^] [^^] [^^^] [ответить]	+/–
<сарказм>links - наше все!</сарказм>

6.20, Аноним (-), 04:57, 14/06/2012 [^] [^^] [^^^] [ответить]	+1 +/–
<ирония>нет же, наже всё - весёлые фермы и банковские клиенты на activex и java-апплетах</ирония>

2.10, Аноним (-), 15:34, 13/06/2012 [^] [^^] [^^^] [ответить]	+1 +/–
> Достаточно в браузере указать, для каких сайтов я доверяю самостоятельный запуск плагинов. А если удалить нафиг яву и флеш - то уж точно дырок не будет. Вообще, с таким подходом вы однажды получите вашим бухам очередной подарок типа троянца для iBANK, ну разве что вы будете юзать какой-то совсем нонеймовый браузер на каком-нибудь qnx, чтобы даже кастомная атака на ваших бухов стала дико дорогой и нецелесообразной :)

1.11, Ищавин (ok), 15:45, 13/06/2012 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
О, Эпла в этот раз даже вовремя обновила. Прогресс.

1.21, Аноним (-), 19:20, 25/06/2012 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Где скачать исходники для java 6 update 33?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: