Oracle пуснаха обновление за злополучната уязвимост

Без да го съобщават предварително, от Oracle пуснаха извънредно обновление, което е насочено към zero-day уязвимостта, за която вече ви съобщихме. Съобщава се, че уязвимостта вече е била използвана за компрометирането на множество сайтове, но излизането на ъпдейт, който разрешава проблема предполага, че много повече на брой сайтове ще бъдат "спасени".

За проблема бе оповестено от няколко водещи антивирусни разработчици и компании за информационна сигурност, като някои от тях не спестиха критиките си към Oracle за ненавременното изправяне на уязвимостта.

Така че добрата новина е, че потребителите, които се нуждаят от присъствието на Java на своите системи за ежедневната си работа могат вече да инсталират въпросното обновление и да бъдат спокойни за това, че що се отнася до тази уязвимост - те ще бъдат защитени. Лошата новина обаче е, че едно от обновленията, които пусна компанията засяга Java 6, така че всички, които използват Java (не само тези с Java 7) е нужно да обновят системите си.

От Oracle изправят официално четири уязвимости, които са насочени към решаването на пет проблема. Както изглежда, CVE 2012-4681 засяга всъщност две уязвимости.

Първите три "фикс"-а засягат само Java 7 и имат CVSS-репутация с маркер 10, което означава, че въпросните уязвимости биха могли да бъдат използвани за изпълнението на зловреден код посредством отдалечен достъп от атакуващата страна.

Четвъртата засяга, както Java 6, така и Java 7, но тя не може да се използва за атака посредством отдалечен достъп. От Oracle не уточняват предназначението на въпросното обновление, но се предполага, че то засяга уязвимост с промяна в използваните привилегии.

Изключително важно е тези, които имат инсталирана Java на своите системи да приложат своевременно въпросните обновления.