Hlavní navigace

Oracle záplatovalo Javu v reakci na kritické chyby zneužívané útočníky

Daniel Dočekal

Kritické chyby v Javě Oracle ponechávalo více než čtyři měsíce bez povšimnutí, takže se  v posledních dnech staly široce používanou pomůcku útočníků získávajících jejich prostřednictvím kontrolu nad napadenými počítači. Oracle si tak vysloužilo ostrou kritiku od firem v oblasti bezpečnosti a následně i od médií.

Kritické chyby v Javě Oracle ponechávalo více než čtyři měsíce bez povšimnutí, takže se  v posledních dnech staly široce používanou pomůcku útočníků získávajících jejich prostřednictvím kontrolu nad napadenými počítači. Oracle si tak vysloužilo ostrou kritiku od firem v oblasti bezpečnosti a následně i od médií.

Včera v pozdních hodinách Oracle uvolnilo neplánovanou záplatu pro Java 7 (označenou jako udpate 7) i pro starší verzi (Java 6). Neplánovanou hlavně proto, že plánovaný termín záplatování je až v říjnu tohoto roku. Podle reakcí bezpečnostních firem se Oracle podařilo zásadní chyby napravit a stávající, volně využívaná, zranitelnost tak již není použitelná. „Snadno využitelný případ vypadá opravený, říká H. D. Moore ze společnosti Rapid 7. „Ale mohou zde být další cesty jak spustit ten samý kód. Pouze může být potřeba trochu úsilí k nalezení další varianty,“ dodává.

Brand

Oracle je navíc kritizováno za nedostatečné zdůraznění významu této opravy. V oznámení o záplatě není ani slovo o tom, že řeší významnou bezpečnostní hrozbu, která je pouze naznačena v Oracle Security Alert for CVE-2012–4681 (kde je, mimochodem, zmiňována zranitelnost i pro Java 6).

O vážnosti chyby svědčí například i to, že Mozilla vydala varování, ve kterém uživatelů doporučuje kompletně zakázat Javu v prohlížeči. Informace o záplatě pak paradoxně možná nakonec budou spíše šířit mainstreamová média (například Reuters), než aby se o potřebné zviditelnění zasloužilo Oracle.

Našli jste v článku chybu?