This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

أوراكل تطلق أحدث حفرة التصحيح للجافا - تحديث الآن!

Filed Under: Featured, Malware, Vulnerability

كبير - لا، العظمى! الهائلة! - كانت الأخبار الأمنية خلال عطلة نهاية الأسبوع CVE-2013-0422.

هذا الأخير الأمن جافا حفرة تسمح تطبيقات جافا في الهروب من القيود متصفحك الأمن جاوة.

وهذا يعني تطبيق Java صغير (عادة ما يكون محدودا للغاية التي في نوع من التغييرات التي يمكن أن تجعل جهاز الكمبيوتر الخاص بك ل) يمكن أن تصيب جهاز الكمبيوتر الخاص بك مع البرمجيات الخبيثة دون بقدر ما هو منبثق أو هي، أنت متأكد.

أصبح هذا الضعف مشكلة كبيرة في وقت قصير بسبب وسرعان ما حزم في استغلال مثل EK كول وحزمة النووية. حزم استغلال أن تعبأ برمجيات الجريمة كما هو وجود الخدمة الأدوات يمكنك استئجار من أجل أن يكون لديك البرامج الضارة وزعت لك.

حتى هنا بعض الأخبار الجيدة: أوراكل كان على الكرة وبالفعل قد حان خارجا مع التصحيح جافا 7 تحديث 11 بإصلاح كل CVE-2013-0422 والضعف الثاني.

وبعبارة الحموله قاعدة البيانات الخاصة:

نظرا لشدة هذه الثغرات الأمنية، والكشف العلني عن التفاصيل التقنية واستغلال المبلغ عنها CVE-0422-2013 "في البرية" أوراكل توصي بشدة أن العملاء تطبيق التحديثات التي يوفرها هذا التنبيه الأمن في أقرب وقت ممكن.

هذا التحديث أيضا تغيير الافتراضي جافا مستوى الأمان الإعداد من متوسط ​​إلى عالي.

كما يفسر أوراكل، في الإعداد مرتفع، كنت "المطالبة دائما قبل تشغيل أي برنامج Java غير الموقعة أو تطبيق جافا ويب ستارت".

ليس هناك وجود كمية هائلة ليقوله عن التصحيح إلى ما بعد ذلك. إصلاح في وقت مبكر، وتحديد كثير من الأحيان!

لاحظ أن نقاط الضعف مصححة أوراكل فقط لا تنطبق على تطبيقات جافا مستقل أو من جانب الملقم تثبيت جافا. أنها لا تنطبق إلا على تطبيقات التي تعمل داخل المتصفح.

متصفحك لا يمكن تجنبه بشكل روتيني ويضعك في طريق الأذى، لأنه حتما التنزيلات ومحاولات لتحليل ومعالجة وعرض، والمحتوى غير موثوق بها.

لذلك، حتى بعد التحديث، ننصحك بأن تتحول جافا من داخل المتصفح إلا إذا كنت تعرف كنت في حاجة إليها.

إذا كان هناك واحد فقط أو اثنين من المواقع المحددة التي تحتاج جافا، فإنه يمكن أن يكون الألم للحفاظ على تذكر لتشغيله، وأنه من السهل أن ينسى لإيقاف تشغيله مرة أخرى بعد ذلك.

في مثل هذه الحالات، قد ترغب في النظر في تشغيل اثنين من المتصفحات، واحدة مع تمكين جافا واحدة من دونه.

بالطبع، إذا قمت بذلك، تحتاج إلى الحفاظ على كل المتصفحات مصححة - حتى (أو ربما خاصة، لأنه واحد مع تشغيل جافا) واحد فقط استخدام بشكل غير منتظم.

بالمناسبة، إذا كنت لا أنتقل قبالة جاوة في المتصفح الخاص بك، أو تعتقد أنك فعلت ذلك، انها تستحق التدقيق.

مكان مفيد للقيام بذلك هي Javatester.org ، صفحة ويب الذي يحاول إطلاق برنامج صغير صغيرة للحصول على الجواب "من فم الحصان"، كما يقول.

إذا كان لديك جافا إيقاف، فإنه سيتم تأكيد هذا لك.

إذا كان لديك تشغيل جافا، فإنه سيتم تأكيد رقم الإصدار دقيقة من وقت التشغيل جافا البيئة (JRE) نفسه. هذا يعني أنك يمكن أن يكون متأكد من أنك تقوم بتشغيل الإصدار الذي تتوقع.

والآن؟ التوقف عن القراءة، وبدء التصحيح!

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog