Oracle ha rilasciato gli aggiornamenti di sicurezza per Java SE e Java per il business che risolvono diverse vulnerabilità, alcune delle quali permettono agli aggressori di prendere il controllo del computer. L'aggiornamento risolve un totale di 21 vulnerabilità in JDK e JRE 6 Update 23 e precedenti, JDK 5.0 Update 27 e precedenti, e SDK 1.4.2_29 e precedenti.
Diciannove dei difetti possono essere sfruttati da remoto senza la necessità di autenticazione e può influenzare la riservatezza, l'integrità e la disponibilità dei dati a vari livelli. Otto vulnerabilità portano il più alto punteggio possibile CVSS di base 10,0, il che significa che hanno un impatto critico e può essere sfruttato per eseguire codice arbitrario. L'impatto è maggiore su Windows che su Linux o Solaris, perché di default di Java viene eseguito con privilegi amministrativi per il primo.
Vulnerabilità normalmente nominale con 10.0, hanno un punteggio di 7,5 se Java viene eseguito con un utente non-admin. Sfruttando le falle di minori impatto che non consentono l'esecuzione di codice arbitrario, gli aggressori possono ancora accedere a informazioni sensibili, aggirare le restrizioni o la negazione di innescare condizioni di servizio.
Le vulnerabilità sono causate da errori in una vasta gamma di componenti, tra cui le distribuzioni, Deployment, Sound, Swing, HotSpot, Install, JAXP, 2D, JDBC, Launcher, Networking, XML Digital Signature, and Security. Gli utenti sono invitati ad aggiornare a Java Runtime Environment 6 Update 24 immediatamente, soprattutto perché Java è attualmente l'applicazione più mirata in attacchi drive-by download. L'ultima versione di Java SE JRE può essere scaricata dal sito ufficiale di Oracle.
Nessun commento:
Posta un commento