Video: Oracle JDK vs OpenJDK: Что же устанавливать начинающему? (Oktober 2024)
Oracle telah mengeluarkan lagi pembaruan darurat untuk Java. Ini adalah pembaruan darurat ketiga yang telah dirilis perusahaan pada 2013 untuk memperbaiki masalah keamanan yang menganga di Jawa yang sudah digunakan dalam serangan.
Pembaruan terbaru, pembaruan Java 7 dan pembaruan Java 6 43, membahas CVE-2013-1493 dan kerentanan terkait (CVE-2013-0809), Oracle mengatakan dalam penasehat keamanannya yang dirilis Senin. Kedua kerentanan mempengaruhi komponen 2D Java SE, yang menangani runtime graphics dan bagaimana gambar ditampilkan, menurut posting blog dari Eric Maurice, direktur jaminan keamanan perangkat lunak di Oracle.
Semua pengguna Java harus segera meningkatkan ke versi terbaru, kata perusahaan.
"Kerentanan ini dapat dieksploitasi dari jarak jauh tanpa otentikasi, yaitu, mereka dapat dieksploitasi melalui jaringan tanpa perlu nama pengguna dan kata sandi, " tulis Oracle.
Penyerang dapat menipu pengguna yang tidak menaruh curiga untuk mengunjungi kode hosting halaman Web berbahaya yang memicu kelemahan keamanan tersebut, kata Oracle. Para peneliti menemukan serangan di komputer pengguna yang menginfeksi liar dengan Trojan akses McRAT jarak jauh. McRAT menghubungi server perintah-dan-kontrol dan menyalinnya sendiri ke dalam proses sistem operasi Windows.
Eksploitasi, jika berhasil, "dapat memengaruhi ketersediaan, integritas, dan kerahasiaan sistem pengguna, " tulis Oracle.
Banyak Pembaruan, Nonaktifkan jika Anda Bisa
Oracle memperbarui Java pada pertengahan Januari dan sekali lagi pada awal Februari dengan pembaruan darurat setelah laporan muncul pada Natal tentang serangkaian serangan gaya lubang air yang memengaruhi berbagai situs. Perusahaan meluncurkan pembaruan terjadwal yang menangani 50 bug pada 19 Februari. Kedua bug ini dilaporkan ke Oracle 1 Februari, tetapi tidak dapat dimasukkan dalam pembaruan 19 Februari, tulis Maurice.
Mempertimbangkan pembaruan Java yang dijadwalkan berikutnya adalah pada bulan April, perusahaan memutuskan untuk merilis patch out-of-band karena kelemahan tersebut secara aktif digunakan dalam serangan.
"Untuk membantu menjaga postur keamanan semua pengguna Java SE, Oracle memutuskan untuk merilis perbaikan untuk kerentanan ini dan bug lain yang terkait erat sesegera mungkin, " tulis Maurice.
Maurice meyakinkan pengguna bahwa masalah tersebut hanya ada di aplikasi Java yang berjalan di browser Web, dan tidak berlaku untuk Java yang berjalan di server, aplikasi desktop Java mandiri, atau aplikasi Java yang disematkan, atau perangkat lunak berbasis server Oracle. Banyak pakar keamanan dan Tim Tanggap Darurat Komputer Departemen Keamanan Dalam Negeri (CERT) merekomendasikan agar pengguna menonaktifkan plugin Java di browser mereka jika mereka tidak menggunakannya secara teratur.
Jika pengguna memerlukan Java, yang mencakup sebagian besar pengguna bisnis dan pendidikan, ada baiknya menjaga browser terpisah dengan plug-in Java diinstal, dan menggunakan browser itu untuk mengakses hanya situs-situs tersebut.
"Sangat bagus melihat Oracle merespons lebih cepat kerentanan kritis, tetapi sudah waktunya bagi mereka untuk melakukan penyelaman yang lebih dalam pada masalah keamanan Jawa, " Lamar Bailey, direktur riset dan pengembangan keamanan di nCircle, mengatakan kepada SecurityWatch . "Saya berharap Oracle telah menugaskan tim insinyur keamanan terbaik mereka untuk secara proaktif meredam salah satu masalah keamanan Java yang tersisa, tetapi sampai saat itu pengguna akan memperbarui Java sesering mereka memperbarui tanda tangan AV, " katanya.
Java 6 memasuki akhir hidup Februari ini, memunculkan kekhawatiran apakah Oracle akan membiarkan versi yang lebih lama tidak ditambal. Oracle menambal Java 6 dalam pembaruan ini, yang masih digunakan oleh banyak pengguna. Tidak jelas bagaimana Oracle akan menangani tambalan untuk Java 6 selama beberapa bulan ke depan.
"Saya selalu berpikir Oracle melakukan pekerjaan yang baik untuk mengamankan produk mereka, tetapi ruam kerentanan Java baru-baru ini menyebabkan saya kehilangan kepercayaan, " kata Bailey, menambahkan bahwa dia sekarang bertanya-tanya seperti apa masalah keamanan serius yang ada dalam produk Oracle lainnya..
Bug Java Lebih Banyak Ditemukan
Dalam permainan kucing dan tikus yang sedang berlangsung, pembaruan Java berarti saatnya untuk pengungkapan kerentanan yang lebih banyak. Adam Gowdiak, kepala firma riset Polandia Security Explorations, menemukan lima isu Java 7 lainnya.
"Lima masalah keamanan baru ditemukan di Java SE 7 (bernomor 56 hingga 60), yang bila digabungkan bersama-sama dapat berhasil digunakan untuk mendapatkan bypass keamanan kotak pasir Java lengkap di lingkungan Java SE 7 pembaruan 15, " tulis Gowdiak pada hari Senin di Milis Bugtraq. Tampaknya penyerang akan dapat menggunakan masalah untuk memecahkan beberapa pemeriksaan keamanan yang baru-baru ini diterapkan Oracle, kata Gowdiak. Kelima masalah perlu digunakan bersama agar serangan berhasil. Gowdiak telah mengirimkan informasi terperinci dan kode bukti-konsep ke Oracle.
Dua masalah juga dapat mempengaruhi Java 6, tetapi itu belum dikonfirmasi.
"Java terbukti menjadi hadiah yang terus memberi bagi para penyerang, " kata Andrew Storms, direktur operasi keamanan di nCircle, kepada SecurityWatch . Dia memperkirakan serangan lebih bertarget terhadap perusahaan besar dan entitas pemerintah. "Berita buruk dengan Jawa terus memburuk dan tidak ada akhir yang terlihat, " katanya.
