Анонсирован релиз IcedTea 2.0, первой версии полностью открытой реализации Java SE 7, построенной на базе OpenJDK7 и виртуальной машины HotSpot, с использованием свободных средств сборки. IcedTea 2.0 поддерживает все возможности Java SE 7 и включает внесенные в дерево исходных текстов OpenJDK7 патчи. В IcedTea также интегрировано несколько улучшений, созданных разработчиками проекта. Например, добавлен звуковой драйвер для работы через PulseAudio, обеспечена поддержка использования альтернативных виртуальных машин, реализован 64-разрядный браузерный плагин IcedTea-Web с поддержкой LiveConnect и Java Web Start, добавлена поддержка дополнительных платформ.
Ранее поставляемая в составе IcedTea виртуальная машина Cacao пока не адаптирована для работы с OpenJDK7. В новой версии также отмечено устранение 13 уязвимостей, некоторые из которых могут привести к организации удаленного выполнения кода злоумышленника. Одновременно с IcedTea 2.0 выпущены корректирующие релизы IcedTea 1.8.10, 1.9.10 и 1.10.4, в которых устранены аналогичные уязвимости.
Одновременно компания Oracle представила двадцать девятый корректирующий релиз Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6, в котором устранено 20 уязвимостей. Подробности об устраненных уязвимостях не сообщаются, упоминается только, что некоторые из проблем имеют критический характер и пользователям следует немедленно обновить Java.
19 из 20 уязвимости могут быть эксплуатированы удаленно с вектором атаки через сеть. 5 уязвимостей имеют статус опасных, для 5 уязвимостей степень опасности определена средняя, а для 10 как незначительная. 9 уязвимостей могут привести к выполнению кода при обработке специально оформленного апплета. 10 уязвимостей позволяют получить доступ к закрытым данным или произвести манипуляции с данными не имея на это прав. Одна уязвимость позволяет организовать атаку по подстановке фиктивных значений в кэш DNS.
Известно, что одна уязвимость исправлена в 2D-подсистеме, одна в HotSpot VM, три в Deployment Toolkit, одна в SAAJ, одна в сетевой подсистеме, одна в Swing, одна в звуковой подсистеме, одна в сетевой подсистеме, одна в JAXWS, две в AWT, две в JSSE, две в RMI, две в JRE и одна в подсистеме скриптинга. Опасные уязвимости исправлены в AWT, Deployment Toolkit, JRE и в сетевой подсистеме.
Дополнение: доступен Java SE 7 Update 1 с устранением аналогичных уязвимостей и исправлением 6 серьезных ошибок в браузерном плагине и виртуальной машине HotSpot.
|