How to Generate GUID in Oracle
Oracle släppte nödlåsningar för Java på måndag för att ta itu med två kritiska sårbarheter, varav en av dem utnyttjas aktivt av hackare i riktade attacker.
Sårbarheterna, som identifierades som CVE- 2013-1493 och CVE-2013-0809, finns i 2D-komponenten i Java och har fått det högsta möjliga effektresultatet från Oracle.
"Dessa sårbarheter kan utnyttjas på distans utan autentisering, det vill säga att de kan utnyttjas via ett nätverk utan att behöva ett användarnamn och lösenord ", sa företaget i en säkerhetsalarm. "För att ett utnyttjande ska bli framgångsrikt måste en intet ont anande användare som kör en drabbad utgåva i en webbläsare besöka en skadlig webbsida som utnyttjar dessa sårbarheter. Succesfulla utnyttjanden kan påverka tillgängligheten, integriteten och konfidentialiteten hos användarens system. "
[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]De nyligen släppta uppdateringarna stöter Java på versioner 7 Uppdatering 17 (7u17) och 6 Uppdatering 43 (6u43), hoppar över 7u16 och 6u42 av skäl som inte var omedelbart tydliga.
Oracle konstaterar att Java 6u43 kommer att vara den senaste offentligt tillgängliga uppdateringen för Java 6 och rekommenderar användarna att uppgradera till Java 7. Den Den offentliga tillgängligheten av Java 6-uppdateringar skulle avslutas med Java 6 Update 41, släppt den 19 februari, men det verkar som om företaget gjorde ett undantag för denna nödlatch.
Sårbarheten CVE-2013-1493 har utnyttjats aktivt av angripare sedan åtminstone i torsdags när forskare från säkerhetsföretaget FireEye upptäckte attacker som använde den för att installera en del av fjärråtkomstprogrammet McRAT. Det verkar emellertid som om Oracle var medveten om den här existensens existens sedan början av februari.
"Även om rapporter om aktivt utnyttjande av sårbarhet CVE-2013-1493 nyligen mottogs, rapporterades det här felet ursprungligen till Oracle den 1 februari 2013, tyvärr för sent för att inkluderas i den 19 februari utgåvan av Critical Patch Update för Java SE, säger Eric Maurice, Oracles chef för programvaruförsäkring, i ett blogginlägg på måndag.
Företaget hade planerat att fixa CVE-2013- 1493 i nästa planerade Java Critical Patch Update den 16 april, sade Maurice. Men eftersom sårbarheten började utnyttjas av angripare, bestämde sig Oracle för att släppa en patch tidigare.
De två sårbarheter som hanteras med de senaste uppdateringarna påverkar inte Java som körs på servrar, fristående Java-skrivbordsapplikationer eller inbyggda Java-applikationer, Sade Maurice. Användare rekommenderas att installera korrigeringsfilerna så snart som möjligt, säger han.
Användare kan inaktivera stöd för webbaserat Java-innehåll från fliken säkerhet på Java-kontrollpanelen om de inte behöver Java på webben. Säkerhetsinställningarna för sådant innehåll är som standard inställda, vilket innebär att användarna uppmanas att tillåta körning av Java-appletar som är usignerade eller självtecknade i webbläsare.
Det här är utformat för att förhindra att Java-sårbarheter utnyttjas automatiskt över Web, men fungerar bara om användarna kan fatta välgrundade beslut om vilka applets som ska godkännas och vilka som inte ska. "För att skydda sig själva bör skrivbordsbrukare endast tillåta exekvering av appletter när de förväntar sig sådana applets och litar på deras ursprung", säger Maurice.
Kommer Oracle att döda Java-community? Det är frågan om allas tankar på årets JavaOne-utvecklarekonferens, den sista showen före Oracles planerade uppköp av Java Microsofts 7,4 miljarder dollar. Oracle VD Larry Ellison gjorde ett överraskning utseende på showens öppningsnyckeln tisdag och försökte hota utvecklaren oro. Medan han antydde att det skulle ske några förändringar, sa han i huvudsak att det kommer att vara vanligt för Java när förvärvet avslutas.
Men Oracle är ingen Sun. Sun har länge kämpat för att hålla sin mångkulturella utvecklingsgrupp lycklig och skapar en omfattande byråkrati för att hantera utvecklingen av Java-standarder och gradvis frigöra nyckelkomponenter på plattformen under en öppen källkodslicens. Medan Sun har gjort några pengar från Java-licenser har det missat stora möjligheter att sälja lukrativa Java-utvecklingsverktyg och middleware-servrar.
Oracle släpper Java-fix, men säkerhetsproblem kvarstår
Oracle har släppt Java 7-uppdatering 11, som tar upp en Zero Day-fel som gör det möjligt för inkräktare att installera skadlig kod på sårbara system. Användare rekommenderas dock att omkonfigurera programvaran så att Java inte körs automatiskt.
Oracle släpper ut nya Java-korrigeringar, förbättrar patchcykeln
Oracle släppte nya säkerhetsuppdateringar för Java på tisdag och meddelade planer på att påskynda framtida utsläpp Java-korrigeringar följer nya attacker som har infekterade datorer med skadlig kod genom att utnyttja otillbörliga sårbarheter i pluginprogram för Java-pluggar.