비디오: Java для начинающих. Урок 6: Условный оператор if. (십월 2024)
오라클은 또 다른 긴급 Java 업데이트를 발표했습니다. 이것은 이미 공격에 사용되고 있던 Java의 보안 문제를 해결하기 위해 2013 년에 출시 한 세 번째 긴급 업데이트입니다.
오라클은 최신 업데이트 인 Java 7 업데이트 17 및 Java 6 업데이트 43을 통해 CVE-2013-1493 및 관련 취약점 (CVE-2013-0809)을 해결했다고 월요일 발표 한 보안 권고에서 밝혔다. Oracle의 소프트웨어 보안 보증 책임자 인 Eric Maurice의 블로그 게시물에 따르면이 취약점은 런타임 그래픽을 처리하고 이미지가 렌더링되는 방식을 처리하는 Java SE의 2D 구성 요소에 영향을 미칩니다.
회사는 모든 Java 사용자가 즉시 최신 버전으로 업그레이드해야한다고 말했다.
"이러한 취약점은 인증없이 원격으로 악용 될 수 있습니다. 즉, 사용자 이름과 암호 없이도 네트워크를 통해 악용 될 수 있습니다."
오라클은 공격자들이 의심하지 않는 사용자들이 이러한 보안 결함을 유발하는 악성 웹 페이지 호스팅 코드를 방문하도록 속일 수 있다고 말했다. 연구원들은 McRAT 원격 액세스 트로이 목마를 사용하는 야생 감염 사용자 컴퓨터에서 공격을 발견했습니다. McRAT는 명령 및 제어 서버에 접속하여 Windows 운영 체제 프로세스에 자신을 복사합니다.
오라클은 "성공적으로 악용되면 사용자 시스템의 가용성, 무결성 및 기밀성에 영향을 줄 수있다"고 밝혔다.
많은 업데이트, 가능한 경우 비활성화
Oracle은 1 월 중순과 2 월 초에 Java를 업데이트하여 다양한 사이트에 영향을 미치는 일련의 워터 링 홀 스타일 공격에 대한 보고서가 크리스마스에 등장한 후 긴급 업데이트로 업데이트되었습니다. 이 회사는 2 월 19 일에 50 건의 버그를 해결하기 위해 예정된 업데이트를 발표했습니다.이 두 버그는 2 월 1 일 Oracle에보고되었지만 2 월 19 일 업데이트에는 포함될 수 없었습니다.
다음에 예정된 Java 업데이트가 4 월에 예정된 것을 고려할 때이 결함이 공격에 적극적으로 사용되어 대역 외 패치를 릴리스하기로 결정했습니다.
Maurice는 "모든 Java SE 사용자의 보안 상태를 유지하기 위해이 취약점에 대한 픽스와 밀접한 관련 버그를 즉시 릴리스하기로 결정했습니다."라고 Maurice는 말했습니다.
Maurice는 문제가 웹 브라우저에서 실행되는 Java 응용 프로그램에만 존재하고 서버, 독립형 Java 데스크탑 응용 프로그램 또는 내장 Java 응용 프로그램 또는 Oracle 서버 기반 소프트웨어에서 실행되는 Java에는 적용되지 않는다고 사용자에게 확신 시켰습니다. 많은 보안 전문가와 국토 안보부의 CERT (Computer Emergency Response Team)는 정기적으로 Java 플러그인을 사용하지 않을 경우 브라우저에서 Java 플러그인을 비활성화 할 것을 권장합니다.
사용자에게 대다수의 비즈니스 및 교육 사용자를 포괄하는 Java가 필요한 경우 Java 플러그인이 설치된 별도의 브라우저를 유지하고 해당 브라우저를 사용하여 해당 사이트 만 액세스해야합니다.
nCircle의 보안 연구 및 개발 책임자 인 Lamar Bailey는 "오라클이 치명적인 취약점에 더 빠르게 대응하는 것이 좋지만 시간이 지남에 따라 Java의 보안 문제에 대해 심도있게 뛰어들 수 있습니다." "Oracle은 이미 남아있는 Java 보안 문제를 사전에 해결하기 위해 최고의 보안 엔지니어 팀을 지정하기를 원하지만 그때까지 사용자는 AV 서명을 업데이트 할 때마다 Java를 업데이트 할 것입니다."
Java 6은 2 월에 단종되었으며, 오라클이 이전 버전을 패치하지 않은 채로 둘지 여부에 대한 우려가 커졌습니다. 이 업데이트에서 Oracle은 Java 6을 패치했으며, 여전히 많은 사용자들이 사용하고 있습니다. 향후 몇 개월 동안 Oracle이 Java 6 용 패치를 어떻게 처리할지는 명확하지 않습니다.
"저는 항상 오라클이 자사 제품을 안전하게 보호하는 데 도움이되었다고 생각했지만 최근에 발생한 Java 취약점으로 인해 믿음을 잃게되었습니다."라고 Bailey는 말했습니다..
더 많은 Java 버그 발견
진행중인 고양이와 마우스 게임에서 Java 업데이트는 더 많은 취약성 공개 시점을 의미합니다. 폴란드 리서치 회사 인 Security Explorations의 책임자 인 Adam Gowdiak은 또 다른 5 가지 Java 7 문제를 발견했습니다.
고 우디 아크 (Gowdiak)는 다음과 같이 밝혔다. "5 개의 새로운 보안 문제가 Java SE 7 (56-60)에서 발견되었으며, 이를 함께 사용하면 Java SE 7 업데이트 15 환경에서 완전한 Java 보안 샌드 박스 우회를 얻는 데 사용될 수 있습니다. Bugtraq 메일 링리스트. 고우 디아 크는 공격자들이이 문제를 이용하여 오라클이 최근 구현 한 일부 보안 검사를 중단 할 수있을 것으로 보인다고 밝혔다. 공격이 성공하려면 다섯 가지 문제를 모두 함께 사용해야합니다. Gowdiak은 이미 자세한 정보와 개념 증명 코드를 Oracle에 제출했습니다.
두 가지 문제가 Java 6에도 영향을 줄 수 있지만 확인되지 않았습니다.
nCircle의 보안 운영 책임자 인 Andrew Storms는 "Java는 계속해서 공격자들에게주는 선물이되고있다"고 SecurityWatch 에 말했다. 그는 주요 기업과 정부 기관에 대한보다 공격적인 공격을 예측했습니다. "자바의 나쁜 소식은 계속 나 빠지고 있으며 끝이 없다"고 그는 말했다.
