매머드 자바 보안 업데이트, 51 가지 필수 패치 제공

6 월에 오라클은 Java를 통해 더 나은 성능을 발휘하고 플랫폼을 더 자주 업데이트하기로 약속 한 방법에 대해 설명했습니다. 이것은 자바가 사용자들을 공격하기 위해 반복해서 사용되는 일련의 난처한 에피소드의 주춧돌이었습니다. 이번 주에 오라클은 자사의 제품을보다 안전하게 운영하는 30 억 개의 장치를 만들기 위해 Java에 대한 새로운 일련의 업데이트 중 첫 번째를 발표했습니다. 사실 일지 모르지만 업데이트는 끔찍한 의미로 끔찍하게 큽니다.

빠른 패치

이전에는 Java가 일년에 세 번 업데이트되었지만 이번 주부터 중요 패치 업데이트 또는 CPU의 일부로 나머지 Oracle 제품과 함께 분기별로 업데이트됩니다 (Oracle에서 수행 한 작업 참조).

전체적으로이 업데이트에는 127 개의 보안 수정 사항이 포함되어 있습니다. 이 중 51 개는 Java를위한 것이며, 가장 어려운 부분은 50 가지입니다.이 취약점 중 50 개는 Oracle의 말에 따르면 "인증없이 원격으로 악용 될 수 있습니다".

그러나, 그것은 나아진다. Qualys 블로그에서 CTO Wolfgang Kandek은 "CVSSv2 점수가 10으로 가장 높은 12 개의 취약점을 인증하지 않고 네트워크를 통해 공격 대상 컴퓨터를 완전히 제어하는 ​​데 사용할 수 있음을 나타냅니다." 그는 대부분의 업데이트가 랩톱 및 데스크톱 사용자 (예: 지금 읽고있는 사용자)에게 영향을 주지만 서버 설치와 관련하여 매우 중요한 두 가지 업데이트가 있음을 지적합니다.

업데이트 할 시간입니다!

대부분의 사용자는 자동으로 업데이트를받을 수 있지만, Oracle은 실행중인 버전을 테스트 할 수있는 유용한 페이지를 제공했습니다. 오래된 설치가 감지되면 업데이트를 다운로드하여 설치하라는 메시지가 표시됩니다. 이번 주 현재 최신 버전은 Java 7 업데이트 45입니다.

Ask.com 도구 모음을 설치하고 기본 검색 엔진을 Ask로 변경하도록 설득하기 때문에 Java를 수동으로 업데이트 할 때 사용자에게 매우주의해야한다는 사실을 잠깐 살펴 보겠습니다.

너무 작은?

오라클이 보안 게임을 강화하는 것을 보는 것이 좋지만 모든 사람이 오라클의 움직임을 싫어하는 것은 아닙니다. Sophos 수석 보안 고문 인 Chester Wisniewski는 자신의 회사 블로그에 너무 늦게 느낀다고 썼습니다. "귀하의 평판이 이처럼 열악하고 10 억 명 이상의 사용자가 결함에 노출되면보다 신속하게 대응해야합니다."

Wisniewski는 오라클의 우선 순위가 잘못 조정되었다는 주장을 단념했으며 최근 아메리카 컵에서 우승 한 Larry Ellison의 오라클 브랜드 보트를 공격 할 대담성을 가지고있었습니다. Wisniewski는 "로비 상을 선반에 놓고 천만 달러짜리 보트를 팔고 자바 패치주기를 매달 현금으로 업데이트하는 데 필요한 엔지니어를 고용한다"고 Wisniewski는 말했다. "30 억 대 이상의 기기가 감사합니다."

Java 설치를 업데이트하는 것이 Java 기반 공격으로부터 자신을 보호 할 수있는 가장 좋은 방법입니다.이 공격은 많은 악용 키트에 포함되어 있으며 공격자가 자주 사용합니다. 물론 항상 플러그를 뽑고 Java를 모두 비활성화 할 수 있습니다.