Video: Java Programming, Episode 8: Fixing an error... (Oktober 2024)
Oracle telah merilis pembaruan darurat untuk menutup bug keamanan serius di Jawa yang sudah digunakan oleh penyerang untuk masuk ke komputer pengguna.
Patch out-of-band membahas kerentanan kritis yang baru-baru ini ditemukan di Java 7 Oracle, Oracle mengatakan dalam penasihat keamanannya yang dirilis 13 Januari. Seorang penyerang akan mengeksploitasi kelemahan terbaru dengan menipu pengguna agar mengunjungi situs web yang menjalankan applet jahat. Pengguna disarankan untuk segera memperbarui ke Java 7 Pembaruan 11.
Java 7 Update 11 mengurangi CVE-2013-0422 (kerentanan terbaru) serta CVE-2012-3174, bug eksekusi kode jarak jauh yang lebih tua sejak Juni lalu. Kedua kekurangan menerima peringkat Common Vulnerability Scoring System dari 10, skor maksimum yang mungkin pada skala ini. Dalam tambalan ini, Oracle menutup kelemahannya dan juga mengubah cara Java berinteraksi dengan aplikasi Web.
"Tingkat keamanan default untuk applet Java dan aplikasi mulai web telah ditingkatkan dari 'sedang' ke 'tinggi, " kata Oracle dalam penasehatnya.
Ini berarti pengguna akan selalu diminta sebelum applet Java atau aplikasi Start Web yang tidak ditandatangani dapat berjalan. Sebelumnya, applet dan aplikasi Java berjalan secara otomatis adalah pengguna menginstal versi terbaru Java. Dengan pengaturan "tinggi", pengguna selalu diperingatkan sebelum aplikasi yang tidak ditandatangani dijalankan sehingga penyerang tidak akan dapat meluncurkan serangan diam, kata Oracle.
Patch Keluar-dari-Band
Patch darurat dari Oracle tidak biasa. Perusahaan biasanya menambal Jawa pada siklus triwulanan, tetapi kemungkinan merilis perbaikan out-of-band ini karena kode serangan yang mengeksploitasi kerentanan ini telah ditambahkan ke beberapa kit eksploitasi populer, termasuk "Blackhole" dan "NuclearPack." Crimware kit memudahkan penjahat untuk menginfeksi komputer dengan malware dan mengambil alih mesin untuk tujuan jahat mereka sendiri. Para peneliti telah menemukan situs web yang menjalankan kode, meskipun saat ini tidak diketahui berapa banyak pengguna yang telah dikompromikan.
Oracle sebelumnya merilis patch out-of-band musim gugur lalu setelah para peneliti mengungkap cacat eksekusi jarak jauh yang serupa.
Mempengaruhi Java di Browser Web, bukan Desktop
Penting untuk diingat bahwa dua kerentanan eksekusi kode jarak jauh yang diperbaiki dalam pembaruan ini adalah "hanya berlaku untuk Java di browser Web karena mereka dapat dieksploitasi melalui applet browser jahat, " Eric Maurice, direktur jaminan keamanan perangkat lunak Oracle menulis di Oracle Software Security Assurance Blog. Jika Anda tidak secara teratur mengakses situs web yang menjalankan Java, maka ada baiknya menonaktifkan plugin Java dalam browser Anda. Berikut adalah petunjuk langkah demi langkah tentang cara menonaktifkan Java dari Neil Rubenking dari SecurityWatch.
Banyak aplikasi desktop dan permainan populer (Minecraft, ada yang?) Menggunakan Java, tetapi klien Java lokal tidak sedang diserang.
"Kerentanan ini tidak memengaruhi Java di server, aplikasi desktop Java, atau Java yang disematkan, " tulis Maurice.
