Ist Oracle Patch für Java 7 den Zero-Day-Fehler behoben?

2014-01-10  |  Comebuy News

Oracle hat einen Patch heute für Java 7. Zufällig wurde Java 7 auch das Ziel der jüngsten Attacken durch eine Zero-Day-Exploit. Vorerst allerdings seine abzuwarten ob der neue Java 7-Patch behebt tatsächlich die Zero-Day-Angriffe, oder in welchem Umfang.

Comebuy Verwandte Artikel: Warnung: Java-Zero-Day-Fehler unter AttackMacs gefährdet "super gefährlich" Java-NULL-DayJava-Zero-Day-Exploit wird mainstream, 100 + Seiten dienen MalwareOracle kannte derzeit ausgenutzten Schwachstellen in Java monatelang Forscher SaysAdobe zu vier Wochen dauern, um Patch-Zero-Day-Schwachstelle

Zunächst eine kurze Zusammenfassung. Eine bisher unbekannte Schwachstelle im Java entdeckt wurde, und ein Proof of Concept (PoC)-Exploit wurde in das populäre Metasploit Framework-Tool entwickelt. Metasploit ist ein Hilfsprogramm, das die guten, aber Exploit ist ein Exploit, und die Tatsache, die der Exploit Code für Metasploit entwickelt wurde PoC bedeutet, dass der Exploit nun in den Händen der viele weitere potenzielle Angreifer ist.

Nach der normalen Oracle Patch Release-Plan soll die nächste Routine-Update nicht bis Oktober auftreten. Allerdings Java ist eine beliebte und weit verbreitete Plattform, und es wäre wahrscheinlich verhängnisvoll für Oracle, einen Monat oder mehr zu produzieren einen Patch zu warten.

Schneller Vorlauf ein paar Tage, und voila! Einen Patch. Vielleicht. Es ist definitiv ein Update für Java 7 von Oracle. Jedoch ist es noch nicht klar was es behebt.

Andrew Stürme, Direktor des Sicherheitsoperationen für nCircle, verweist darauf, dass die Releasenotes keine auch die Basisinformationen enthalten--es gibt keine Release-Datum und der Link zu der CVE (Anfälligkeit) behoben, indem der Patch nur verweist auf eine leere Webseite.

Stürme sagt, "die Welt der Oracle-Anwender halten den Atem warten auf irgendeine Art von endgültigen offiziellen Erklärung" hinzufügen, "Dies ist eine umfassende Kommunikation nicht auf Oracles Teil. Wie erwarten sie ihren Kunden diesen Patch ohne zusätzliche Details nutzen?"

Wenn dieses Update von Oracle die Zero-Day-Schwachstelle beheben und schützen Benutzer vor der Java-Angriffe in freier Wildbahn in Umlauf, wäre den meisten sehr gute Nachricht. Es wäre auch eine sehr beeindruckende Wende von Oracle zu Kurbel aus einem Patch so schnell.

Anscheinend, nicht aber die Schwachstellen Nachrichten zu Oracle. Sicherheitsexperten die Mängel an Oracle vor Monaten gemeldet, aber Oracle saß auf den Fix, bis der geplante Oktober aktualisieren.

Egal, gibt es ein Update für Java, die Sie wahrscheinlich anwenden sollten, wenn Sie die betroffene Version verwenden. Wahrscheinlich behebt die Fehler, die Oracle seit April über kennt, aber selbst wenn es nicht muss Fix etwas oder es wäre sinnlos, entwickeln und veröffentlichen.

Wenn Oracle eine angesehene weiterhin will, vertrauenswürdige Software, muss einen viel besseren Job massenweise Updates in einer fristgerechten Weise zu tun, und es muss erheblich verbessern die Kommunikation zum Kunden informiert, was hier vor sich geht.

« Back