Aktualizacja Javy zamyka krytyczne luki

RafkoSkomentuj
Aktualizacja Javy zamyka krytyczne luki
Oracle dostarcza niewiele informacji na temat samych błędów. Sześć krytycznych błędów wiąże się z aplikacjami i apletami Web Start, które są „niezaufane” z powodu braku certyfikatu. Jedna z luk może być również wykorzystana za pośrednictwem dostępu z wykorzystaniem usługi internetowej.

Więcej informacji można było znaleźć w źródłach wydawcy popularnej dystrybucji Linuksa, firmy Red Hat. Według nich, jednym z błędów, który został poprawiony w najnowszej aktualizacji jest CVE-2012-1723, który dotyczy HotSpot JVM i polega na niewłaściwej weryfikacji zasad dostępności i atrybutów obiektów. W wyniku wykorzystania błędu, można przemycić spreparowany plik unikając zabezpieczeń piaskownicy Java. Na kolejny błąd, CVE-2012-1713, składa się wiele błędów w kodzie macierzystym font menedżera. Wykorzystując ten błąd, można spowodować uszkodzenie pamięci Java Virtual Machine wykorzystując spreparowany plik fontów.

Luka w elemencie SynthLookAndFeel biblioteki Swing GUI, sklasyfikowana jako CVE-2012-1716, umożliwia dostęp do elementów interfejsu użytkownika spoza aplikacji. Złośliwa aplikacja może wykorzystać tę lukę do spowodowania awarii JVM lub ominięcia jego piaskownicy. Ten sam rezultat można uzyskać wykorzystując CVE-2012-1711, który oznacza brak odpowiedniej ochrony w modelach danych CORBA.

Aktualizacje należy zastosować w oprogramowaniu Java SE 7 (wraz z Update 4), 6 (Update 32 i wcześniejsze), 5 (Update 35 i wcześniejsze) i w wersji 1.4.2_27 i wcześniejszych. Błędy dotyczą również JavaFX 2.1 i wersji wcześniejszych.

Źródło: Heise

Udostępnij

Rafko