Video: How to fix error: oracle java se runtime environment version 7 update 51- MS SQL 2016 | 4Fun4You (Novembre 2024)
Oracle ha rilasciato un aggiornamento di emergenza per chiudere un grave bug di sicurezza in Java che era già stato utilizzato dagli aggressori per penetrare nei computer degli utenti.
La patch out-of-band affronta la vulnerabilità critica recentemente scoperta in Oracle Java 7, Oracle ha affermato nel suo advisory sulla sicurezza rilasciato il 13 gennaio. Un utente malintenzionato sfrutterà l'ultimo difetto ingannando gli utenti a visitare un sito Web che esegue un'applet dannosa. Si consiglia agli utenti di aggiornare immediatamente a Java 7 Update 11.
Java 7 Update 11 mitiga sia CVE-2013-0422 (l'ultima vulnerabilità) sia CVE-2012-3174, un vecchio bug di esecuzione del codice remoto risalente allo scorso giugno. Entrambi i difetti hanno ricevuto un punteggio del sistema di valutazione della vulnerabilità comune di 10, il punteggio massimo possibile su questa scala. In questa patch, Oracle ha chiuso il difetto e ha anche cambiato il modo in cui Java interagiva con le applicazioni Web.
"Il livello di sicurezza predefinito per le applet Java e le applicazioni di avvio Web è stato aumentato da" medio "a" alto ", ha affermato Oracle nell'advisory.
Ciò significa che all'utente verrà sempre richiesto di eseguire un'applet Java non firmata o un'applicazione Web Start. In precedenza, le applet e le applicazioni Java venivano eseguite automaticamente se agli utenti era installata l'ultima versione di Java. Con l'impostazione "alta", l'utente viene sempre avvisato prima che qualsiasi applicazione non firmata venga eseguita in modo che gli aggressori non siano in grado di lanciare attacchi silenziosi, ha affermato Oracle.
Patch fuori banda
Una patch di emergenza di Oracle è insolita. La società di solito corregge Java su un ciclo trimestrale, ma probabilmente ha rilasciato questa correzione fuori banda perché il codice di attacco che sfrutta questa vulnerabilità è già stato aggiunto a diversi kit di exploit popolari, tra cui "Blackhole" e "NuclearPack". I kit Crimware rendono più facile per i criminali infettare i computer con malware e prendere le macchine per i loro scopi malvagi. I ricercatori hanno già scoperto siti Web che eseguono il codice, sebbene al momento non sia noto quanti utenti siano già stati compromessi.
Oracle in precedenza aveva rilasciato una patch fuori banda lo scorso autunno dopo che i ricercatori avevano scoperto un simile difetto di esecuzione remota.
Influisce su Java nei browser Web, non sul desktop
È importante ricordare che le due vulnerabilità legate all'esecuzione di codice in modalità remota risolte in questo aggiornamento sono "applicabili solo a Java nei browser Web perché sono sfruttabili tramite applet di browser dannose", Eric Maurice, direttore dell'assicurazione della sicurezza del software Oracle, ha scritto sul blog Oracle Software Security Assurance. Se non accedi regolarmente ai siti Web che eseguono Java, vale la pena disabilitare il plug-in Java nel browser. Ecco le istruzioni dettagliate su come disabilitare Java da Neil Rubenking di SecurityWatch.
Molte applicazioni desktop e giochi popolari (Minecraft, chiunque?) Usano Java, ma il client Java locale non è sotto attacco.
"Queste vulnerabilità non influiscono su Java su server, applicazioni desktop Java o Java incorporato", ha scritto Maurice.