Max Home IndustryOracle выпустила критическое обновление патча для Java SE более чем на две недели раньше запланированного срока, чтобы обеспечить исправления безопасности для более чем 50 уязвимостей.
В ответ на давление, с которым она столкнулась, чтобы улучшить безопасность Java в браузере, Oracle выпустила обновление 13 Java SE 7 (J7u13), по-видимому, в обход обновления 12.
Следующее критическое обновление патча (CPU) первоначально планировалось выпустить 19 февраля, но, по словам директора Oracle по обеспечению безопасности программного обеспечения Эрика Мориса, оно было перенесено на 1 февраля из-за:
активная эксплуатация “в дикой природе” одной из уязвимостей, влияющих на среду выполнения Java (JRE) в настольных браузерах.
Сорок семь из 58 уязвимостей, рассмотренных в этом ЦП, влияют на среду выполнения Java (JRE). Из них 26 имеют оценку 10,0, максимально возможную в Общей системе оценки уязвимостей (CVSS v2), при этом 23 являются уязвимостями на стороне клиента, а 3 применяются как к развертываниям клиента, так и к развертываниям сервера. В общей сложности 44 уязвимости влияют только на клиентское развертывание Java (например, Java в интернет-браузерах).
Патч также содержал исправления для 11 уязвимостей в Java FX, 8 из которых CVSS оценили в 10.0 баллов.
В настоящее время Oracle работает над устранением недостатков в системе безопасности. В январе он выпустил предупреждение о безопасности в связи с проблемами, обнаруженными в веб-браузерах. Кроме того, январский процессор, который охватил в общей сложности 86 проблем, в основном связанных с продуктами баз данных, устранил две уязвимости в JRE с оценкой CVSS 10.0, выпустив обновление 11 Java SE 7 (J7u11). Однако этого было недостаточно, чтобы развеять опасения Министерства внутренней безопасности США, которое рекомендовало:
Если нет абсолютной необходимости запускать Java в веб-браузерах, отключите его … даже после обновления до 7u11. Это поможет смягчить другие уязвимости Java, которые могут быть обнаружены в будущем.
По словам Мориса:
Популярность среды выполнения Java в настольных браузерах и тот факт, что Java в браузерах не зависит от операционной системы, делает Java привлекательной мишенью для злоумышленников.
Он также отмечает, что Oracle не только озабочена устранением проблемы, но и работает быстро и будет продолжать работать быстро, чтобы сделать это:
После получения сообщений об уязвимости в среде выполнения Java (JRE) в браузерах настольных компьютеров Oracle быстро подтвердила эти сообщения, а затем приступила к ускорению обычного тестирования выпуска в связи с предстоящим выпуском критического обновления исправлений, которое уже содержало исправление этой проблемы.
Размер этого Критического обновления исправлений, а также его ранняя публикация демонстрируют намерение Oracle ускорить выпуск исправлений Java, в частности, чтобы помочь решить проблему безопасности среды выполнения Java (JRE) в настольных браузерах.
Хорошо, что Oracle так быстро продвинулась и проявляет определенную озабоченность по поводу безопасности Java, но это в такой же степени вопрос имиджа, как и существа. В настоящее время Java на клиенте подвергается атаке, и пользователи, которые отключают Java в браузере, вряд ли снова включат его в ближайшее время. Java никогда не была таким большим хитом на стороне клиента, как на стороне сервера, но попытка Oracle с помощью JavaFX дать ей новую жизнь подвергается нападкам со стороны безопасности.
На данный момент вы бы предпочли использовать апплет, веб-приложение для запуска или даже JavaFX для нового проекта?