oracle_javaПосле крупнейшего обновления Java SE с устранением 50 уязвимостей Oracle выпустила дополнительные обновления Java SE 7 Update 15 и Java SE 6 Update 41, закрывающие 5 узвимостей.
Трём уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все уязвимости присутствуют в JRE (две в библиотеках и по одной в JMX, Deployment Toolkit и JSSE) и подвержены удалённой эксплуатации без проведения аутентификации. Одна из проблем затрагивает не только клиентские системы (браузерный плагин), но и серверные установки. Указанной проблеме присвоен незначительный уровень опасности CVSS 4.7. Уязвимость связана с возможностью совершения атаки по выявлению содержимого отдельных блоков SSL/TLS-соединений.
Oracle прекращает поддержку ветки Java SE 6, и в Java SE 7 реализована возможность при установке удалить компоненты старой 6-ой ветки, тем самым повысив безопасность. Кроме того, выпуск обновлений Java теперь будет производится в 2 раза чаще (не 2, а 4 раза в год). Назначены даты будущих обновлений: 16 апреля, 18 июня, 15 октября и 14 января.
Одновременно выпущены обновления IcedTea 1.11.8 и 1.12.3, полностью открытой реализации Java SE 6, построенной на базе OpenJDK и виртуальной машины HotSpot, с использованием свободных средств сборки. В новой версии устранены 3 уязвимости. Немного раньше были опубликованы корректирующие выпуски IcedTea7 2.3.6, 2.1.5 и 2.2.5 с устранением прошлой порции уязвимостей, обновления с устранением уязвимостей в Java SE 7 Update 15 задерживаются.
Не забываем обновляться!

Источник http://www.opennet.ru/opennews/art.shtml?num=36165

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *