Обманите меня дважды: Apple выпускает обновление Java для последней уязвимости нулевого дня

Jordan Kahn | Понедельник, 4 марта, 2013, 01:34.

Avatar for Jordan Kahn
 | 4 марта 2013 г. — 14:40 PT

После многочисленных сообщений о новых уязвимостях нулевого дня в плагине Java для браузера, Oracle сегодня выпустила экстренное обновление для Java 7, в то время как Apple обновляет Java SE 6 до версии 1.6.0_43.

Сегодня Oracle выпустила предупреждение безопасности CVE-2013-1493 для устранения двух уязвимостей, затрагивающих Java, работающую в веб-браузерах (CVE-2013-1493 и CVE-2013-0809). Одна из этих уязвимостей (CVE-2013-1493) недавно была зафиксирована как активно используемая злоумышленниками для вредоносной установки исполняемого файла McRat на компьютеры ничего не подозревающих пользователей. Обе уязвимости затрагивают 2D-компонент Java SE. Эти уязвимости не применимы к Java, работающей на серверах, автономным настольным приложениям Java или встраиваемым приложениям Java. Они также не затрагивают серверное программное обеспечение Oracle. Каждой из этих уязвимостей был присвоен базовый балл CVSS 10.0.

Исследователи из компании FireEye на прошлой неделе предупредили пользователей о еще одной новой уязвимости нулевого дня в Java и рекомендовали пользователям отключить Java до тех пор, пока Oracle не устранит проблему. Сегодня Oracle заявила, что знала об уязвимости с 1 февраля, но не успела исправить ее в последнем выпуске:

Хотя сообщения об активной эксплуатации уязвимости CVE-2013-1493 были получены недавно, об этой ошибке было первоначально сообщено Oracle 1 февраля 2013 г., к сожалению, слишком поздно, чтобы включить ее в выпущенное 19 февраля обновление безопасности для Java SE.

Компания намеревалась включить исправление для CVE-2013-1493 в обновление безопасности для Java SE от 16 апреля 2013 г. (обратите внимание, что Oracle недавно объявила о своем намерении выпустить дополнительное обновление безопасности для Java SE в эту дату, помимо тех, что были запланированы на июнь и октябрь 2013 г.). Однако, учитывая сообщения об активной эксплуатации CVE-2013-1493 и чтобы помочь поддерживать безопасность всех пользователей Java SE, Oracle решила выпустить исправление для этой уязвимости и еще одной тесно связанной ошибки как можно скорее посредством этого предупреждения безопасности.