Max Home IndustryOracle выпустила два новых крупных обновления безопасности для Java для Mac OS и подключаемого модуля браузера Windows, каждое из которых исправляет большое количество серьезных уязвимостей.
Оба обновления Critical Patch были выпущены во вторник, 16 апреля, то есть в соответствии с обычным графиком, но они исправляют удивительно большое количество уязвимостей — 42 в случае обновления браузера Windows и 21 для Mac.
В блоге Oracle Security Assurance Эрик Морис сказал, что 39 уязвимостей, исправленных в апрельском обновлении Critical Patch Update, можно использовать удаленно без аутентификации. Он также сказал, что максимальная базовая оценка CVSS (общая система оценки уязвимостей) 10,0 затронула 19 из этих уязвимостей. 10 — максимальный балл по (CVSS).
Морис сказал, что только две из 42 уязвимостей могут повлиять на развертывание Java на сервере. Эксплуатация сервера может происходить только в результате этих ошибок, когда вредоносные данные передаются в определенные API-интерфейсы на сервере (например, через веб-службу), и одна из этих ошибок фактически требует локального доступа для использования.
Тот факт, что уязвимости используются удаленно без аутентификации, означает, что если пользователь посещает скомпрометированный или вредоносный веб-сайт, злоумышленник может запустить код на вашем компьютере. В недавнем отчете финской компании по безопасности F-Secure отмечен рост на рынке использования ботнетов, эксплойтов и банковских троянов для атак, приносящих прибыль, во второй половине 2012 года. В отчете об угрозах H2 говорится, что возникла конкретная угроза. с помощью эксплойтов против платформы разработки Java:
«За последние полгода заметно выделяются три вещи: ботнеты (с особым акцентом на ZeroAccess), эксплойты (особенно против платформы разработки Java) и банковские трояны (Zeus)».
Патч безопасности для Windows доступен на странице загрузок Oracle Java SE. Apple поддерживает Java для Mac OS, и ее исправление Java для OX X 2013-003 доступно в Центре загрузок Apple.