Mentalism, mind reading and the art of getting inside your head | Derren Brown
Oracle פרסמה תיקוני חירום עבור Java ביום שני כדי לטפל בשתי נקודות תורפה קריטיות, שאחת מהן מנוצלת באופן פעיל על ידי האקרים בהתקפות ממוקדות.
הפגיעויות, שזוהו כקובץ CVE- 2013-1493 ו- CVE-2013-0809, ממוקמים במרכיב הדו-ממדי של Java וקיבלו את הציון הגבוה ביותר האפשרי מאורקל.
"הפגיעויות הללו עשויות להיות מנוצלות מרחוק ללא אימות, כלומר, ניתן לנצלן ברשת ללא צורך בשם משתמש וסיסמה ", אמרה החברה בהתראה ביטחונית. "כדי שהניצול יהיה מוצלח, משתמש שאינו חושד בהפעלת מהדורה מושפעת בדפדפן חייב לבקר בדף אינטרנט זדוני הממנף את הפגיעויות. ניצול מוצלח עלול להשפיע על זמינותו, על תקינותו ועל סודיותו של המשתמש. "[
] [לקריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]העדכונים החדשים שפורסמו עדכוני Java לגירסאות 7 עדכון 17 (7u17) ו 6 עדכון 43 (6u43), דילוג על 7u16 ו 6u42 מסיבות שלא היו מיד ברור.
Oracle מציין כי Java 6u43 יהיה העדכון האחרון זמין לציבור עבור Java 6 ומייעץ למשתמשים לשדרג ל- Java 7. זמינות של עדכוני Java 6 הייתה אמורה להסתיים ב- Java 6 Update 41, שפורסמה ב -19 בפברואר, אך נראה כי החברה עשתה חריג עבור תיקון החירום.
הפגיעות CVE-2013-1493 נוצלה באופן פעיל על ידי תוקפים מאז לפחות ביום חמישי האחרון, כאשר חוקרים של חברת האבטחה FireEye גילו התקפות להשתמש בו כדי להתקין פיסת תוכנה זדונית גישה מרחוק בשם McRAT. עם זאת, נראה כי אורקל היתה מודעת לקיומה של פגם זה מאז תחילת פברואר.
"למרות הדיווחים על ניצול פעיל של הפגיעות CVE-2013-1493 התקבלו לאחרונה, זה באג דווח במקור אורקל ב -1 בפברואר 2013, למרבה הצער, מאוחר מדי להיכלל ב -19 בפברואר של עדכון העדכון הקריטי עבור Java SE ", אמר אריק מוריס, מנהל אבטחת התוכנה של אורקל, בהודעת בלוג ביום שני.
החברה תכננה לתקן את CVE-2013- 1493 ב הבא מתוכנן ג 'אווה תיקון קריטי תיקון ב -16 באפריל, אמר מוריס. עם זאת, מאחר שהפגיעות החלה לנצל את התוקפים, אורקל החליטה לשחרר תיקון מוקדם יותר.
שתי הפגיעויות המטופלות בעדכונים האחרונים אינן משפיעות על Java הפועל בשרתים, ביישומי Java עצמאיים של Java או ביישומי Java משובצים, אמר מוריס. המשתמשים ממליצים להתקין את התיקונים בהקדם האפשרי, אמר.
משתמשים יכולים לבטל תמיכה בתוכן Java מבוסס אינטרנט מכרטיסיית האבטחה בלוח הבקרה של Java, אם הם אינם זקוקים ל- Java באינטרנט. הגדרות האבטחה עבור תוכן כזה מוגדרות כברירת מחדל, כלומר, משתמשים מתבקשים לאשר ביצוע של יישומוני Java שאינם חתומים או חתומים בעצמם בתוך דפדפנים.
פעולה זו נועדה למנוע ניצול אוטומטי של נקודות תורפה ב- Java מעל אינטרנט, אבל רק עובד אם משתמשים מסוגלים לקבל החלטות מושכלות על איזה יישומונים כדי לאשר ואשר לא. "על מנת להגן על עצמם, משתמשים בשולחן העבודה צריכים לאפשר ביצוע של יישומונים רק כאשר הם מצפים ליישומונים כאלה ולסמוך על מוצאם", אומר מוריס.
תיקון יום שלישי תיקונים חורים אפס חמור יום, מותיר עוד פתח
מחזור חודשי של מיקרוסופט תיקון סוגר שני פגמים תחת לתקוף מעורבים ActiveX ו QuickTime קבצים חורים אבטחה אחרים.
Adobe משחררת תיקון פלאש חירום עבור מערכות Windows ו- OS X
Adobe פרסמה לאחרונה עדכון חירום עבור Flash Player בכל הפלטפורמות לאחר שתי פגיעויות התגלו בטבע מיקוד Windows ו- Mac OS X PC.
חוקרים: אפס יום PDF לנצל לנצל את Adobe Reader 11, גירסאות מוקדמות יותר
חוקרים של חברת האבטחה FireEye טוענים כי התוקפים הם באופן פעיל באמצעות ניצול קוד מרחוק לנצל כי עובד נגד הגרסאות העדכניות ביותר של Adobe Reader 9, 10 ו 11.