В Java SE 6 Update 19 исправлено 27 уязвимостей
Компания Oracle выпустила девятнадцатое обновление Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6, в котором зафиксировано 27 исправлений, направленных на устранение проблем безопасности. Одновременно выпущены обновления JDK 5.0 Update 23 и SDK 1.4.2_25, доступные только для платформы Solaris, для остальных платформ при использовании устаревших версий Java предлагается использовать пакет Java for Business с продленным временем поддержки (время жизни ветки Java 5 истекло осенью прошлого года).Большинство из исправленных уязвимостей имеет умеренный или незначительный характер опасности, но к сожалению не обошлось и без критических проблем. Например:
- Ошибка в реализации класса "HeadspaceSoundbank" может привести к исполнению кода злоумышленника при попытке обработки Soundbank-файла со специально оформленным длинным именем или некорректным заполнением полей внутри файла.
- Переполнение буфера в коде обработки изображений может быть использовано злоумышленниками для организации выполнения кода вне виртуальной машины при открытии пользователем web-страницы, содержащей специально оформленный Java-апплет.
- Несколько опасных уязвимостей найдено в коде подсистем ImageIO, Java 2D, JRE, Java Web Start, Java Plug-in, Pack200, Sound и HotSpot Server, к сожалению подробности об их сущности не разглашаются.
- Уязвимость в компонентах Java Web Start и Java Plug-in позволяет произвести DoS-атаку или осуществить манипулирование некоторым видом данных;
- Две уязвимости в Java Runtime Environment позволяют получить доступ к закрытой информации;
Кроме уязвимостей в новой версии обновлены головные (root) сертификаты: удалены три старых сертификата, добавлено семь новых, пять сертификатов были заменены на версии с более высокой степенью защиты (VeriSign, Thawte и GeoTrust). Усилена безопасность java машины при запуске приложений, которые содержат как подписанный, так и неподписанный код. Начиная с этой версии, при запуске таки приложений пользователь будет оповещен.
© OpenNet
