This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

A Apple fica agressivo - mais recentes OS X Java rasga de atualização de segurança para fora o suporte ao navegador

Filed Under: Featured, Java, Vulnerability

Manter o controle de qual versão do Java que você tem, e se é o mais recente e mais seguro, pode ser um pouco complicado, especialmente para usuários da Apple.

Oracle, o guardião de Java , corrige seus produtos às terças-feiras, como Microsoft e Adobe. Mas utiliza uma terça diferente e um conjunto diferente de meses para produtos diferentes. (A maioria dos produtos da Oracle são corrigidos trimestralmente, para Java, é três vezes por ano.)

Para seu diário: Oracle Critical Patch Updates

Patch Updates críticos (CPUs) são conjuntos de correções de segurança, divulgado na terça-feira mais próxima do dia 17 do mês. Para a maioria dos produtos, os patches vir quatro vezes por ano:

15 de janeiro de 2013 - 16 de abril de 2013 - 16 de julho de 2013 - 15 de outubro de 2013

Para o Oracle Java SE, as manchas se três vezes por ano:

19 de fevereiro de 2013 - 18 de junho de 2013 - 15 de outubro de 2013

Correções considerado muito crítico para esperar a próxima CPU são emitidos alertas ad hoc como a segurança.

Quando a Oracle corrigiu Java, a Apple então suga as mudanças em sua árvore de código Java e questões de suas próprias atualizações, mas você nunca pode ter certeza de quanto tempo isso vai levar.

A Apple tomou infame até abril de 2012 para empurrar um patch que estava disponível para todos os outros desde fevereiro, deixando assim uma longa janela de oportunidade para os autores de malware. Eles usaram esta janela (sem trocadilhos) para construir uma botnet de tamanho gigante de Macs infectados com um Trojan conhecido como OSX / Flshplyr-B .

Este mês, as coisas têm sido mais calmo e mais previsível. A Oracle Java atualizado na terça-feira 16 outubro de 2012, como esperado, a Apple seguiu o exemplo de um dia mais tarde.

As versões mais recentes são:

Vendedor Solte A versão atual
Oracle (todos os sistemas operacionais) Java SE 7 1.7.0_09-b05
Apple (OS X) Java SE 6 1.6.0_37-b06

Por algum tempo, o conselho de Segurança Nu tem sido a de se livrar de Java completamente se você não precisa dele, ou proibi-lo de seu navegador , se você usar Java apenas para a execução de aplicativos pré-instalados.

Mantendo Java de seu navegador elimina o risco de applets hostis - programas especiais de despojadas Java incorporado em páginas web.

Parece que a Apple tem estado a ouvir.

Primeiro, ele parou o transporte OS X com Java pré-instalado quando o OS X Lion (10,7) saiu. Leão e Leão de montanha (10,8) incluem um esboço de programa (/ usr / bin / java), que se oferece para buscar e instalar o Java se alguma vez você tentar usá-lo, mas não é instalado por padrão.

Em seguida, a Apple lançou uma atualização que desligar o Java no seu navegador se você não tivesse usado qualquer applet por um tempo, reduzindo assim sua exposição desnecessária ao código Java hostis na web.

E em sua última atualização de segurança, a Apple tem sido ainda mais agressivo.

Codificadores Cupertino não só bateu a sua versão Java para última versão da Oracle de Java SE 6 (1.6.0_37), mas também arrancou o componente plugin para o navegador inteiramente.

Então, depois de aplicar o mais recente OS X Java atualização - o que você precisa apenas se você já tiver escolhido para instalar o Java - você não será mais capaz de executar applets no seu browser

Isso pode soar como um erro, mas para a maioria dos usuários, é uma característica. Você vai descobrir se você realmente precisa de Java em seu navegador, porque a Apple adiciona um plugin espaço reservado que enche qualquer janela do applet com um "Missing Plug-in" de advertência e um botão de download.

Você pode então escolher se quer instalar o plugin em falta ou para aprender a viver sem ele.


A única desvantagem é que para adquirir o plugin do applet necessário, você tem que instalar o Java da Oracle tempo de execução em paralelo com o Java da Apple.

Isso deixa você com Java dobro em seu Mac: versão mais recente da Apple de Java SE 6, ea versão mais recente da Oracle de Java SE 7. (Você não pode ter uma Oracle Java runtime para coincidir com o da Apple um - Oracle não construir um Java 1.6.0-aromatizado para OS X porque isso é visto como trabalho da Apple.)


A pergunta que você vai querer respondida agora é: "Se eu conseguir a atualização imediatamente, ou esperar?"

Eu sugiro que você não deve esperar.

Estas últimas atualizações Java corrigir 30 falhas de segurança no total, todos os buracos, mas um de permitir a execução remota de código, e 23 deles são classificados como tendo o que a Oracle chama de uma complexidade de acesso de "baixo". Quanto menor a complexidade do acesso, o mais provável é que um exploit de trabalho pode ser encontrado e utilizado.

Oracle publicou uma detalhada Matriz de Risco , se você não está convencido para atualizar já.

Para mais informações, aqui estão alguns links úteis, gerais e específicos:

• Apple segurança notificação: página de destino Geral (HT1222)

• Apple segurança notificação: correções de Java para Outubro de 2012 (HT5549)

• Oracle CPUs e alertas de segurança: página de destino Geral

• Oracle Java SE notas de lançamento: página de destino Geral

• Oracle Java SE notas de lançamento: 1.6.0_37-b06 (outubro da Apple versão 2012)

• Oracle Java SE notas de lançamento: 1.7.0_09-b05 (outubro Oracle versão 2012)

• Oracle Java SE matriz de risco: outubro 2012 Critical Patch Update

Espero que isso ajude.

You might like

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog