Oracle исправила серьезную уязвимость в Java для Windows

сегодня в 13:58

Oracle выпустила внеплановое обновление для Java — Java 8 Update 73 (8u73, а также 6u113 и 7u97). В новой версии ПО исправлена уязвимость CVE-2016–0603 (Security Alert for CVE-2016–0603), которая позволяет злоумышленникам скомпрометировать систему при установке продукта с использованием дистрибутивов версий Java 6, 7 и 8. Уязвимость присутствует в компоненте установщика (Windows Installer) и заключается в том, что он может исполнить определенные файлы в директории загрузок пользователя (Downloads), заранее подготовленные злоумышленником.

f46c119d62ad494abd4d0fd1a38f97ff.jpg

Уязвимость является относительно сложной для эксплуатации, поскольку атакующим нужно разместить необходимые файлы в директории загрузки еще до того как пользователь запустит на исполнение дистрибутив с ПО, поэтому ей присвоен не самый высокий уровень опасности CVSS (7.6). В то же время, при успешной реализации сценария атаки, злоумышленники смогут получить полный контроль над системой, поскольку DLL-библиотека злоумышленников будет исполнена в контексте процесса с высокими правами Администратора в системе.
Так как сама уязвимость располагается в установщике, а не в работающих файлах ПО, пользователю с установленным продуктом не нужно его обновлять. Пользователям, которые уже загрузили дистрибутивы предыдущих версий, рекомендуется удалить их и скачать обновленные.

Because the exposure exists only during the installation process, users need not upgrade existing Java installations to address the vulnerability. However, Java users who have downloaded any old version of Java prior to 6u113, 7u97 or 8u73, should discard these old downloads and replace them with 6u113, 7u97 or 8u73 or later.


Загрузить Java 8 Update 73 можно по этой ссылке.

image
be secure.

Автор: @esetnod32
d6004181077d9122d88b3a14e4ec965c.png

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

© Habrahabr.ru