Oracle выпустила экстренное исправление для Java 7

Ввиду высокого уровня опасности и широкого обсуждения в ИТ-отрасли, корпорация Oracle несколько часов назад выпустила исправление для среды Java 7, где ранее была обнаружена серьезная уязвимость, позволявшая размещать вредоносные файлы на пользовательских компьютерах. Напомним, что корпорация намеревалась выпустить квартальный набор патчей завтра, где планируется ликвидировать 86 уязвимостей, однако рассматриваемая Java-уязвимость получила особенно широкую огласку и на ее базе уже появилось типовое вредоносное ПО, что и вынудило Oracle выпустить исправление максимально скоро.

Указанная уязвимость CVE-2013-0422 с пятницы входит в пару наиболее популярных систем тестирования уязвимостей, а в интернете уже появились сайты, эксплуатирующие уязвимость.

В блоге Oracle одновременно с релизом Java 7 Update 11 появилась запись Эрика Мориса, который заявил, что Oracle призывает как можно скорее установить обновленную версию в систему. Он также отметил, что в сети существуют как минимум пара разных Java-апплетов, использующих уязвимость через веб-сайты.

Помимо получившей широкую огласку уязвимости, в Update 11 была устранена и другая опасная уязвимость CVE-2012-3174, которая также работает через веб-браузеры.

Кроме того, в Oracle заявили, что после установки Update 11 пользовательские настройки безопасности в Java автоматически перейдут в режим повышенной безопасности.

Напомним, что несколько дней назад многие ИТ-консультанты и правительственные агентства призвали отказаться от использования Java 7 до тех пор, пока Oracle не устранит две означенные проблемы, так как они реально ставят под угрозу данные на компьютерах по всему миру. Впрочем, даже после релиза обновления независимые эксперты не спешат успокаивать пользователей, так как ряд старых проблем, на которые Oracle уже давно указывали, все еще существуют в коде Java.

В польской ИТ-компании Security Explorations, которая одной из первых предупредила о серьезном баге в Java, говорят, что несколько серьезных багов присутствуют и в новой Java, причем они тянутся еще с прошлого года. "Мы бы пока не рекомендовали вновь использовать Java-плагин", - говорит Адам Говдиак, специалист по безопасности польской компании.