Компания Oracle выпустила внеплановое обновление Java с устранением уязвимости

Компания Oracle выпустила экстренные корректирующие обновления Java SE 7 update 7 и Java SE 6 update 35. В Java SE 7 update 7 устранена критическая уязвимость (CVE-2012-4681), для которой уже около недели публично доступен эксплоит и наблюдаются факты совершения атак в сети. Кроме того, в указанном выпуске устранены ещё две похожие по сути новые уязвимости, обнаруженные в процессе создания патча. Всем трём уязвимостям присвоен высший критический уровень опасности.

Дополнительно, в состав включено исправление потенциальной проблемы безопасности в подсистеме AWT, которая не может быть эксплуатирована напрямую, но может быть задействована в комплексе с другими уязвимостями. В отличие от CVE-2012-4681, данная проблема затрагивает и Jаva 6, поэтому одновременно выпущено обновление Java SE 6 update 35. Все исправленные проблемы проявляются исключительно при использовании Java в форме браузерного плагина, серверные и десктоп применения Java исправленные проблемы безопасности не затрагивают.

Примечательно, что внеплановый выход обновления Java осуществлён впервые в практике Oracle, ранее все выпуски Java формировались точно в соответствии с намеченным графиком (Java SE 7 update 7 должен был выйти 16 октября) для упрощения планирования процесса обновления в корпоративной среде. Тем не менее, это не снимает с Oracle вины за игнорирование уязвимости при подготовке июньского обновления Java, в то время, как о наличии проблемы Oracle было сообщено ещё в апреле.

Дополнение: одновременно вышел релиз IcedTea 2.3.1, в котором устранены аналогичные уязвимости. IcedTea представляет собой полностью открытую реализацию Java SE 7, построенную на базе OpenJDK7 и виртуальной машины HotSpot, с использованием свободных средств сборки.

© OpenNet