This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Apple, становится агрессивным - последняя OS X Java обновление безопасности вырывает поддержки браузера

Filed Under: Featured, Java, Vulnerability

Отслеживание которых Java версии у вас есть, и является ли это последний и самый безопасный, может быть немного сложнее, особенно для пользователей Apple.

Oracle, хранитель Java , патчи свою продукцию по вторникам, как Microsoft и Adobe. Но он использует различные вторник, и другой набор месяцы для различных продуктов. (Большинство Oracle продукция исправлена ​​ежеквартально; для Java, это три раза в год).

Для Вашего дневника: Oracle Критические обновления Patch

Критические обновления Patch (ЦП) представляют собой наборы исправлений безопасности, выпущенные во вторник, ближе к 17-й день месяца. Для большинства продуктов, патчи приходят четыре раза в год:

15 января 2013 - 16 апреля 2013 - 16 июля 2013 - 15 октября 2013

Для Oracle Java SE, патчи идут три раза в год:

19 февраля 2013 - 18 июня 2013 - 15 октября 2013

Исправления считаются слишком критическим, чтобы дождаться следующего процессора выдаются специальные как агент безопасности.

После Oracle была исправлена ​​Java, Apple снова сосет изменения в свой код Java деревьев и выпускает собственные обновления, но вы никогда не можете быть вполне уверены, как долго это займет.

Apple, позорно взял до апреля 2012 года , чтобы вытеснить патча, которая была доступна для всех остальных с февраля, таким образом оставляя длительный окно возможностей для авторов вредоносных программ. Они использовали это окно (не каламбур), чтобы построить гигантский размер бот-сеть из компьютеров Mac заражены троянской известный как OSX / Flshplyr-B .

В этом месяце, все было более спокойным и предсказуемым. Oracle обновление Java во вторник, 16 октября 2012 года, как и ожидалось, Apple последовали его примеру на день позже.

Последние версии:

Продавец Отпустите Текущая версия
Oracle (все ОС) Java SE 7 1.7.0_09-b05
Apple (OS X только) Java SE 6 1.6.0_37-b06

В течение некоторого времени, совет Naked Security, в том, чтобы избавиться от Java в целом, если вам это не нужно, или запретить его из браузера , если вы используете Java только для запуска предустановленных приложений.

Хранение Java из вашего браузера устраняет риск враждебного апплеты - специальный урезанный Java программ встроенных в веб-страницы.

Похоже, что Apple, была прослушивания.

Во-первых, она остановилась доставка OS X с Java предварительно установлено, когда OS X Lion (10,7) вышли. Лев и Горный лев (10,8) включает в себя программу заглушки (/ USR / бен / Java), который предлагает для загрузки и установки Java, если бы вы пытаетесь использовать его, но он не устанавливается по умолчанию.

Тогда, Apple выпустила обновление, которое будет выключать Java в Вашем браузере, если вы не использовали любые апплеты на некоторое время, таким образом, сокращая ненужные воздействия вредоносный код Java на веб-сайте.

И в своих последних обновлений безопасности, Apple была еще более агрессивной.

Кодеры Купертино не только наткнулся свою версию Java для последней версии Oracle о Java SE 6 (1.6.0_37), но и вырвали компонента плагин для браузера полностью.

Таким образом, после установки последней OS X обновление Java - которые вам нужно только, если вы уже выбрали для установки Java - Вы больше не будете иметь возможность запускать апплеты в вашем браузере

Это может звучать как ошибка, но для большинства пользователей, это особенность. Вы узнаете, если вам действительно нужна Java в Вашем браузере, потому что Apple, добавляет заполнитель плагин, который заполняет любые окна апплета с "Отсутствует плагин" предупреждение и кнопка загрузки.

Затем вы можете выбрать, следует ли установить недостающие плагин или научиться жить без нее.


Единственным недостатком является то, что для приобретения необходимых апплет плагин, вы должны установить Oracle, Java Runtime параллельно с Java Apple.

Это оставляет вас в два раза больше Java на Mac: последняя версия от Apple в Java SE 6, и последняя версия Oracle о Java SE 7. (Вы не можете получить Oracle Java Runtime в соответствии с Apple, один - Oracle не строить 1.6.0-ароматизированные Java для OS X, потому что видел, как работа Apple.)


Вопрос, который вы хотите ответить сейчас, "Должен ли я получить обновление прямо сейчас, или подождать?"

Я полагаю, что вы не должны ждать.

Эти последние обновления Java исправить 30 отверстий безопасности в общем, все отверстия, кроме одного потенциально возможным удаленное выполнение кода, и 23 из них классифицируются как имеющие то, что Oracle называет доступа сложности "низкий". Чем меньше доступа сложности, тем больше вероятность того, что рабочий эксплойт может быть найдена и использована.

Oracle опубликовала подробный Матрица рисков , если вы не уверены обновить уже.

Для получения дополнительной информации, вот некоторые полезные ссылки, как общие, так и специфические:

• Apple безопасности уведомлений: Генеральный целевой страницы (HT1222)

• Apple безопасности уведомлений: Java исправлений в октябре 2012 года (HT5549)

• Oracle процессоров и предупреждений системы безопасности: Генеральный целевую страницу

• Oracle Java SE выпуске: генеральный целевую страницу

• Oracle Java SE выпуске: 1.6.0_37-b06 (окт Apple в 2012 версии)

• Oracle Java SE выпуске: 1.7.0_09-b05 (Oct-2012 Oracle версии)

• Oracle Java SE матрицы рисков: октябрь 2012 Критические обновления Patch

Надеюсь, что это помогает.

You might like

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog