Oracle fjerner 50 Java-sårbarheter

Framskyndet utgivelse på grunn av aktive angrep.

Forhåpentligvis er lappesakene fra Oracle denne gang solide nok til å gjøre Java trygt å bruke i nettleseren i en lengre periode enn bare noen uker.
Forhåpentligvis er lappesakene fra Oracle denne gang solide nok til å gjøre Java trygt å bruke i nettleseren i en lengre periode enn bare noen uker.
Harald BrombachHarald BrombachNyhetsleder
4. feb. 2013 - 09:37

Oracle kom fredag med en ny sikkerhetsoppdatering til Java SE (Standard Edition). Denne fjerner i alt 50 ulike sårbarheter fra programvaren. Oppdateringene skulle etter planen først ha blitt utgitt den 19. februar, men Oracle opplyser her at utgivelsen ble framskyndet fordi én av de 50 sårbarhetene allerede blir utnyttet i aktive angrep.

44 av de 50 sårbarhetene berører bare klientinstallasjoner av Java. De skal ikke kunne utnyttes på annen måte enn via Java Web Start-applikasjoner eller Java Plugin-appleter. Én sårbarhet skal være knyttet til installasjonsprosessen til Java-klienten.

Tre sårbarheter berører både klient- og serverinstallasjoner. Disse kan utnyttes enten via Java Web Start og Java-appleter i nettleseren, eller med å forsyne serverinstallasjoner med spesielle data via programmeringsgrensesnittene. Men noen av de serverrelaterte sårbarheter skal bare kunne utnyttes i forbindelse med uvanlige serveroppsett.

De to siste sårbarhetene i denne omgang er knyttet til serverutvidelsen Java Secure Socket Extension (JSSE).

Oracle bruker en rangering for sårbarheter hvor 10,0 er den høyeste og mest alvorlige. 26 av sårbarhetene, hvorav tre også berører serverinstallasjoner, er gitt denne poengsummen.

Mer informasjon om sårbarhetene som nå er fjernet, finnes her.

Den oppdaterte Java-versjonen heter Java 7 update 13 og har versjonsnummer 1.7.0_13. Den forrige versjonen het Java 7 update 11. Det er uklart hva som skjedde med den tolvte oppdateringen.*

Den nyeste versjonen av Java kan lastes ned fra Java.com eller via Java-kontrollpanelet.

*Som forklart av leseren «Maxthon» i kommentarene nedenfor, skyldes spranget at det er gitt ut to sikkerhetsoppdateringer på rad. Partallsnummer brukes ikke på sikkerhetsoppdateringer

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.