Sun łata Javę

Koncern Sun Microsystems udostępnił uaktualnienie dla oprogramowania Java Platform Standard Edition (SE) Version 6, usuwające z niego poważny błąd w zabezpieczeniach. Nastąpiło to zaledwie kilka dni po tym, jak firma została ostro skrytykowana za metody udostępniania poprawek przez specjalistów z eEye Digital Security.

Uaktualnienie - nazwane Java Platform Standard Edition Version 6 Update 2 - pojawiło się na stronie firmy w weekend. Równocześnie wprowadzono je do systemu automatycznej aktualizacji oprogramowania Suna.

Wydaje się, że do udostępnienia poprawki w znaczącym stopniu przyczyniła się zdecydowana krytyka działań Suna ze strony specjalizującej się w bezpieczeństwie firmy eEye Digital Security. Jej eksperci ostro skrytykowali kilka dni temu politykę aktualizacji Suna. Chodzi o to, że Sun oferuje kilka wersji oprogramowania Java SE - we wszystkich odkryto niedawno ten sam błąd (chodzi o lukę w module Java Network Launching Protocol), jednak uaktualnienia dla nich udostępnione zostały w różnym czasie. Zdaniem eEye, takie działanie pozwoliło przestępcom na przeanalizowanie patchy (poprzez inżynierię wsteczną) i wykrycie, na czym dokładnie polega błąd. Dzięki temu mogli oni skutecznie atakować użytkowników tych wersji Java SE, które nie zostały jeszcze załatane.

Luka w Java Network Launching Protocol została wykryta przez eEye już w styczniu 2007 - z analiz ekspertów wynika, że umożliwia ona stworzenie strony WWW zawierającej "złośliwy" kod, który zostanie automatycznie uruchomiony podczas wyświetlenia strony na komputerze z zainstalowanym Java SE.

Warto wspomnieć, że Java Platform Standard Edition Version 6 Update 2 zawiera również starsze poprawki, łatające inne błędy - m.in. luki związane z przetwarzaniem grafiki w formatach .bmp oraz .jpg. Specjaliści zalecają ich zainstalowanie, ponieważ kilka dni temu w Sieci pojawiły się nowe exploity wykorzystujące te błędy.

Oprogramowanie Java Platform Standard Edition Version 6 Update 2 pobrać można ze strony koncernu Sun.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200