Folytatódik az Oracle küzdelme a Java biztonságáért. Jelentős, kereken 40 biztonsági rést megszüntető csomagot adott ki a Javához. A 7u25 csomaggal orvosolt sérülékenységek között volt több kritikus veszélyességű, viszonylag könnyen kihasználható is. A feltárt sebezhetőségek közül tizenegy kapta a legmagasabb veszélyességi besorolást a CVSS (Common Vulnerability Scoring System) rendszer alapján. Ezek olyan rések, melyeket kihasználva egy rendszer teljes mértékben kiszolgáltatottá válik a támadásokkal szemben. A sebezhetőségek jelentős hányada a webböngészőkhöz telepített Java bővítményeken keresztül is veszélyeztetheti a számítógépek biztonságát.

A frissítést a JDK/JRE 7 Update 21, a JDK/JRE 6 Update 45 és a JDK/JRE 5 Update 45 valamint korábbi verzióikra, valamint a JavaFX 2.2.21-es és korábbi változataikra vonatkozik.

Gyorsan reagált az Oracle ■ Ross Barrett, a Rapid7 szakértője szerint lehetőség szerint azonnal kell telepíteni a javítást, mert szerinte napokon belül megjelennek az interneten a hibák kihasználására alkalmas exploitok.


A hibák – mint arra többek között Brian Gorenc, a HP ZDI (Zero Day Initiative) menedzsere is felhívja a figyelemet – a szoftveres sérülékenységek jelentős spektrumát lefedik, beleértve a sandbox megkerülést, a puffertúlcsordulást stb. A szakember utalt az idei Pwn2Own hackerversenyre is, ahol például a Java volt a hackerek egyik kedvence. A tavaszi rendezvényen négy biztonsági hibát is sikerült feltárniuk. Gorenc szerint a most javított kritikus hibák segítették akkor is a versenyzőket, hogy kompromittálják a számítógépeket, és azokon tetszőleges kódokat futtassanak le. A ZDI egyébként jó néhány most befoltozott biztonsági rést jelzett az Oracle-nek, és Gorenc szerint most az Oracle gyorsan is reagált a bejelentéseikre.

A legújabb Java az Oracle weboldaláról tölthető le, vagy a frissítési funkció segítségével telepíthető, valamint ott olvashatók a javítócsomagra vonatkozó tudnivalók is.