Java 7 Update 21

Java 7 Update 21

Vážné bezpečnostní chyby provázají Javu již řadu let. Značně to připomíná situaci okolo flashe. Narozdíl od Flashe, jehož využívání pomalu klesá s koncem podpory na platformě Android a přechodem na HTML5, podpora Javy naopak roste a tím se zvětšuje atraktivita tohoto prostředí pro tvůrce mallware. Právě bezpečnostní chyby Javy měly za důsledek úspěšné napadení Facebooku i Apple v únoru letošního roku.

Stává se poměrně častým pravidlem, že dosud "neobjevené" chyby jsou využívány během několika málo dnů od vydání opravy předchozí verze. Právě tyto problémy s Javou jsou jedním z důvodů, proč od ní dal Apple ruce pryč a přenechal vývoj Macovské javy (tedy javy uzpůsobené pro běh pod OS X) na bedrech Oracle.

Během dnešního dne by se měla objevit Java 7 Update 21 s opravou 42 bezpečnostních chyb. Ve svém prohlášení Oracle tvrdí, že "39 z těchto chyb může být využito vzdáleně bez nutnosti authentifikace" Informace od Oracle neuvádí, které díry byly opraveny. Seznam chyb v Javě však uvádí web společnosti Security Exploration.

Vývojáři Oracle dále přidali do kódu Javy několik bezpečnostních úprav, které dovolí uživatelům vybrat si, zda si přejí spustit javovský kód. Po aktualizaci, Java zobrazí několik zpráv a dialogových oken po té, co narazí na stránky, které hostují Java aplety. V některých případech bude kód spuštěn pouze v případě, že uživatel klepne na tlačítko OK.

Oracle podobné opatření zavedl již koncem minulého roku, nicméně java si neověřuje platnost certifikátů, to pak vedllo ke snadnému překonání ochrany - protože považuje certifikáty za důvěrychodné i když byly nahlášeny jako ukradené a předány do veřejně dostupných databází certifikátů se zrušenou platností. To bohužel vyšlo najavo až po té, co se škodící aplikace poukázala zneplatněným certifikátem a přesto byla spuštěna.

Situace ohledně bezpečnosti javy je nyní velmi závažná a po Oraclu se požaduje aby s tím začal něco zásadnějšího dělat. Doporučuje se mu důkladný audit tohoto software, aby se opravili nejzásadnější bezpečnostní díry, doplnění technologií, který by pomáhali uživatelů zabránit útokům a vybavením, které bude minimalizovat škody po úspěšném proniknutí do javy. Bude však trvat několik týdnů, než se ukáže jak důkladná aktualizace javy byla provedena.

Poslat Java 7 Update 21 na facebook
Publikováno 30.11.2012
 

Změna barev | Autorská práva | Kontakt | Podpora | RSS kanály
© 2006 Gandalf, Design by Mirek
Creative Commons License