Компания Oracle представила (https://blogs.oracle.com/java/entry/java_se_8_update_25) плановый октябрьский выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 7u71/72 и Java SE 8u25 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) (номер версии присвоен в соответствии с новой схемой (http://www.opennet.me/opennews/art.shtml?num=36938) нумерации выпусков) устранено 25 проблем с безопасностью (http://www.oracle.com/technetwork/topics/security/cpuoct2014...). Выпуск Java SE 7u72 вышел одновременно с 7u71 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью.
22 уязвимости в Java могут быть эксплуатированы удалённо без проведения аутентификации. 1 уязвимости (CVE-2014-6513) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 5 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 5 проблем, максимальная степень опасности которых 6.9, затрагивают не только клиентские, но и серверные системы.
Кроме проблем в Java SE, наличие уязвимостей обнародовано (http://www.oracle.com/technetwork/topics/security/cpuoct2014...) и в других продуктах Oracle, в том числе сообщается о 14 уязвимостях в Solaris, 7 уязвимостях в VirtualBox и 24 уязвимостях в MySQL. Максимальный уровень опасности уязвимостей в MySQL отмечен в 8 баллов из 10, в Solaris - 7.8, в VirtualBox - 5. Все уязвимости уже молча исправлены в ранее опубликованных обновлениях MySQL и VirtualBox.
URL: https://blogs.oracle.com/java/entry/java_se_8_update_25
Новость: http://www.opennet.me/opennews/art.shtml?num=40831