Oracle kom i går med en ny og ekstraordinær sikkerhetsoppdatering til Java Runtime Environment (JRE). Denne fjerner to sårbarheter som kan utnyttes når Java-applikasjoner kan kjøres i nettlesere CVE-2013-1493 og CVE-2013-0809. Den førstnevnte er allerede tatt i bruk av ondsinnede i angrep som blant annet går ut på å installere skadevaren McRat.
Oracle har gitt begge sårbarhetene alvorlighetsgraden 10.0, som er den aller høyeste verdien for CVSS Base Score.
Ifølge Oracle påvirker begge sårbarhetene 2D-komponenten i Java Standard Edition (SE). Sårbarhetene berører ikke Java som kjøres på servere, som separate pc-applikasjoner eller i integrerte systemer.
Oracle fikk vite om CVE-2013-1493-sårbarheten allerede den 1. februar, men ifølge selskapet var dette ikke tidsnok til at en sikkerhetsfiks kunne inkluderes sammen de fem øvrige som ble utgitt den 19. februar. I stedet skulle den ha blitt inkludert i sikkerhetsoppdateringen som etter planen skal gis ut den 16. april. Men angrepene gjorde at Oracle framskyndet utgivelsen.
Den nye sikkerhetsoppdateringen til Java heter Java SE 7 Update 17. Den fjerner de to nevnte sårbarhetene og kan lastes ned fra denne siden. Oracle oppdaterer ikke lenger Java 6, så brukere som har denne gamle versjonen installert, bør snarest avinstallere denne og eventuelt installere den nyeste versjonen av Java 7 i stedet.*
Flere sårbarheter
Det er ingenting som tyder på at Oracle nå har fått fjernet alle de alvorligste sårbarhetene i Java-plattformen. I en melding til postlisten Full Disclosure skriver Adam Gowdiak, administrerende direktør i det polske IT-sikkerhetsselskapet Security Explorations at selskapet har funnet ytterligere fem sårbarheter som i alle fall berører Java 7. Ifølge Gowdiak må alle de fem nevnte sårbarhetene kombineres for å kunne oppnå vellykket kompromittering av Java SE-sikkerheten. Sårbarhetene er i stor grad knyttet til Javas Reflection API.
Ifølge Gowdiak skyldes minst én av de fem nyeste sårbarhetene, men også en sårbarhet som selskapet fant i slutten av februar, forskjeller mellom JVM-spesifikasjonen (Java Virtual Machine) og Oracles implementeringen av denne.
Security Explorations har her en løpende oversikt over de nå 60 sårbarhetene selskapet har funnet i Java SE siden april 2012.
* Oppdatert kl. 10.10: Oracle har kommet med en sikkerhetsoppdatering til Java 6 (Java 6 Update 43), til tross for planen om ikke å gjøre dette etter februar 2013.
Les også:
- [06.06.2013] Nesten ingen oppdaterer Java
- [18.03.2013] Solid nedgang i Windows-sårbarheter
- [08.03.2013] Java knekket nok en gang
- [01.03.2013] Nye Java-angrep pågår
- [26.02.2013] Advarer om nye Java-problemer