Nem csillapodik a vihar a Java körül. Az idei évben egymást érik a rendkívüli biztonsági frissítések. Alig egy hónapja történt, hogy az Oracle soron kívül foltozott be nulladik napi sebezhetőségeket. Majd két és fél héttel később – már a tervezett javításban – ismét veszélyes sérülékenységeket kellett orvosolni. Úgy tűnik, az Oracle elszántan küzd a Java biztonsági problémáinak hatékonyabb felszámolásán, ezért is csökkentette két hónapra az eredetileg négy hónapos frissítési ciklust. Ennek megfelelően a következő frissítés április 16-án érkezett volna, ám a terveket keresztülhúzta az élet: újabb biztonsági résekre derült fény, melyeket célzott támadások során már elkezdtek kihasználni.

Két biztonsági rés ■ A mostani frissítés két sebezhetőséget orvosol, melyeket a 2D összetevő tartalmaz, és a legmagasabb veszélyességi besorolást érdemelték ki. Kihasználásukkal jogosulatlan távoli kódfuttatásra nyílhat lehetőségük a támadóknak, akik az érintett rendszerek felett teljes mértékben átvehetik az irányítást.

Olyan sérülékenységek ezek, melyek autentikáció (például felhasználó–jelszó páros) nélkül is kihasználhatók távolról – hangsúlyozta az Oracle közleménye. Ahhoz, hogy a sérülékenységek valóban veszélyt jelentsenek, a felhasználónak meg kell látogatnia egy kártékony weboldalt a webböngészőjében. Ekkor lefut egy exploit, amely komoly kockázatot jelent a felhasználói rendszerek elérhetőségére és integritására.

A probléma orvoslásához a Java 7 Update 17-et (7u17), illetve Java 6 Update 43-at (6u43) kell letölteni. Az Oracle azonban emellett mindenkinek azt javasolja, hogy álljon át a Java 7-re, mivel a cég a Java 6 frissítésének beszüntetését tervezi. Az, hogy a tervfből mikor válik tény, egyelőre nem tudni, hiszen eredetileg a február 19-én megjelent frissítés, Java 6 Update 41 lett volna az utolsó kiadás, ám az Oracle most mégis kiadott egy soron kívüli javítást.



Kockázatcsökkentő beállítások ■ Eric Maurice, az Oracle egyik igazgatója, szerint a mostani hibák a szerveroldali Java megoldások, illetve a Java-alapú desktop alkalmazások biztonságára nincsenek hatással. Ami pedig a webes biztonságot illeti, a felhasználók a Vezérlőpultból elérhető Java Control Panelen található "Security" fülön kikapcsolhatják a Java tartalmak böngészőkben való futtatását, ha arra nincs szükségük. A szakember hangsúlyozta, hogy az itt található biztonsági beállítások alapértelmezés szerint "magas" szintre vannak állítva, amivel megakadályozható a nem megfelelően aláírt vagy önaláírt Java appletek automatikus futtatása. Egyébként is: csak akkor szabad engedélyezni egy applet végrehajtását, ha az megbízható forrásból származik – tette hozzá az általános érvényű igazságot a szakember.

A Java mostani sebezhetőségei már korábban is ismertek voltak, de azt nem lehet pontosan tudni, hogy a kiberbűnözők mióta használja ki azokat a károkozásaihoz. Egy biztos: múlt hét csütörtökön a FireEye, majd a Symantec kutatói is olyan Java-alapú támadásokra bukkantak, amelyek a most befoltozott biztonsági résekre is alapoztak. A támadások a Naid nevű trójaira épültek, melynek érdekessége, hogy a készítői azokkal a tanúsítványokkal igyekeztek megbízhatónak feltűntetni, amelyek a Bit9 rendszeréből szivárogtak ki még a múlt hónapban.

A Java legújabb verziói letölthetők az Oracle weboldaláról, vagy az automatikus frissítési funkciók segítségével telepíthetők.