Oracle выпустила очередную порцию обновлений для Java

от автора

В конце прошлой недели администрация Facebook объявила о том, что ноутбуки некоторых сотрудников компании были заражены вредоносным кодом. В процессе расследования инцидента выяснилось, что заражение произошло через веб-сайт, посвященный разработе для мобильных устройств, который был скомпрометирован вредоносным содержимым. При посещении этого сайта пользователей перенаправляли на набор эксплойтов, которые устанавливали вредоносное ПО на уязвимые для эксплойтов компьютеры. Команда безопасности Facebook отмечает, что ноутбуки сотрудников были скомпрометированы с использованием незакрытой на тот момент 0day Java уявимости. В компании подчеркивают, что у них нет оснований полагать, что злоумышленникам удалось похитить какую-либо информацию об аккаунтах социальной сети или другую персональную информацию пользователей.

В Facebook говорят, что после обнаружения этого Java 0day, они сообщили в Oracle о найденной уязвимости и 1 февраля Oracle выпустили набор исправлений для Java номер 13, 7u13, который закрывал, в том числе, и эту уязвимость.

Подобные атаки получили название «watering hole» или, буквально, «водопой». В такой схеме злоумышленники компрометируют веб-сайт, который посещает большое количество человек. В результате значительно расширяется круг пользователей, которые могут быть уязвимы для набора эксплойтов, с помощью которых на уязвимые компьютеры доставляется вредоносный код.

Вчера агенство Reuters распространила новость о том, что некоторые сотрудники компании Apple подверглись схожей атаке. Вредоносный код на их маки был установлен через веб-сайт, который был скомпрометирован вредоносным содержимым. Для установки вредоносного ПО также использовался набор эксплойтов и уязвимость в Java-плагине для браузеров.

Через некоторое время после этого заявления Apple, Oracle анонсировала выход очередного набора исправлений. Этот набор включает в себя фиксы из предыдущей серии обновлений (от 1 первого февраля), плюс 5 новых исправлений. Таким образом, текущая версия Java — 7u15.

Note:This Critical Patch Update includes all fixes provided in the Oracle Java SE Critical Patch Update February 2013, distributed on February 1, 2013, plus an additional five fixes which had been previously planned for delivery. This distribution therefore completes the content for all originally planned fixes to be included in the Java SE Critical Patch Update for February 2013. Note also that Oracle has scheduled a Java SE Critical Patch Update for April 16, 2013, in addition to those previously scheduled in June and October of 2013 and in January of 2014. This additional distribution will be used to further accelerate Java security fixes to Java users.

Дистрибутив Java 7u15 доступен для скачивания здесь.


be secure.

ссылка на оригинал статьи http://habrahabr.ru/company/eset/blog/170043/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *