Компания Oracle выпустила (https://blogs.oracle.com/security/entry/security_alert_for_c...) экстренные корректирующие обновления Java SE 7 update 7 (http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1...) и Java SE 6 update 35 (http://www.oracle.com/technetwork/java/javase/6u35-relnotes-...). В Java SE 7 update 7 устранена критическая уязвимость (http://www.oracle.com/technetwork/topics/security/alert-cve-...) (CVE-2012-4681), для которой уже около недели публично доступен (https://www.opennet.ru/opennews/art.shtml?num=34669) эксплоит и наблюдаются факты совершения атак в сети. Кроме того, в указанном выпуске устранены ещё две похожие по сути новые уязвимости, обнаруженные в процессе создания патча. Всем трём уязвимостям присвоен высший критический уровень опасности.
Дополнительное в состав включено исправление потенциальной проблемы безопасности в подсистеме AWT , которая не может быть эксплуатирована напрямую, но может быть задействована в комплексе с другими уязвимостями. В отличие от CVE-2012-4681, данная проблема затрагивает и Jаva 6, поэтому одновременно выпущено обновление Java SE 6 update 35. Все исправленные проблемы проявляются исключительно при использовании Java в форме браузерного плагина, серверные и дестктоп применения Java исправленные проблемы безопасности не затрагивают.
Примечательно, что внеплановый выход обновления Java осуществлён впервые в практике Oracle, ранее все выпуски Java формировались точно в соответствии с намеченным графиком (Java SE 7 update 7 должен был выйти 16 октября) для упрощения планирования процесса обновления в корпоративной среде. Тем не менее, это не снимает с Oracle вины за игнорирование уязвимости при подготовке июньского обновления Java, в то время, как о наличии проблемы Oracle было сообщено (https://www.opennet.ru/opennews/art.shtml?num=34696) ещё в апреле.
URL: https://blogs.oracle.com/security/entry/security_alert_for_c...
Новость: https://www.opennet.ru/opennews/art.shtml?num=34707