Opis
Oracle Java SE vsebuje kritično ranljivost, ki napadalcu omogoča zagon poljubne programske kode na sistemu. Ranljivost se že aktivno izrablja na internetu, zanjo pa je že na voljo tudi modul za ogrodje Metasploit. V času izdaje tega obvestila je šlo za t.i. 0-day ranljivost, kar pomeni, da popravka zanjo še ni bilo na voljo.
Ranljive platforme
Oracle Java 7 Update 6, zelo verjetno pa tudi ostale verzije 7.x
Po podatkih, ki so trenutno na voljo, so ranljive namestitve Jave na različnih operacijskih sistemih, tako GNU/Linux, Windows kot tudi Mac OS X. Prav tako je ranljivost možno izkoristiti preko različnih brskalnikov (Opera, Internet Explorer, Chrome, Firefox, Safari)
Rešitev
Ranljivost odpravlja nova verzija Java 7 update 7. Prenesete jo lahko iz sledečih naslovov:
Uporabnikom, ki ne potrebujejo Jave, priporočamo da jo odstranijo iz sistema.
Povezave
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=2012-4681
- https://community.rapid7.com/community/metasploit/blog/2012/08/27/lets-start-the-week-with-a-new-java-0day
- http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
- http://www.deependresearch.org/2012/08/java-7-0-day-vulnerability-information.html