В Java SE 6 Update 19 исправлено 27 уязвимостей
31 марта 2010 года
Компания Oracle выпустила девятнадцатое обновление Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6, в котором зафиксировано 27 исправлений, направленных на устранение проблем безопасности. Одновременно выпущены обновления JDK 5.0 Update 23 и SDK 1.4.2_25, доступные только для платформы Solaris, для остальных платформ при использовании устаревших версий Java предлагается использовать пакет Java for Business с продленным временем поддержки (время жизни ветки Java 5 истекло осенью прошлого года).
Большинство из исправленных уязвимостей имеет умеренный или незначительный характер опасности, но к сожалению не обошлось и без критических проблем. Например:
- Ошибка в реализации класса "HeadspaceSoundbank" может привести к исполнению кода злоумышленника при попытке обработки Soundbank-файла со специально оформленным длинным именем или некорректным заполнением полей внутри файла.
- Переполнение буфера в коде обработки изображений может быть использовано злоумышленниками для организации выполнения кода вне виртуальной машины при открытии пользователем web-страницы, содержащей специально оформленный Java-апплет.
- Несколько опасных уязвимостей найдено в коде подсистем ImageIO, Java 2D, JRE, Java Web Start, Java Plug-in, Pack200, Sound и HotSpot Server, к сожалению подробности об их сущности не разглашаются.
- Уязвимость в компонентах Java Web Start и Java Plug-in позволяет произвести DoS-атаку или осуществить манипулирование некоторым видом данных;
- Две уязвимости в Java Runtime Environment позволяют получить доступ к закрытой информации;
Кроме уязвимостей в новой версии обновлены корневые (root) сертификаты: удалены три старых сертификата, добавлено семь новых, пять сертификатов были заменены на версии с более высокой степенью защиты (VeriSign, Thawte и GeoTrust). Усилена безопасность java машины при запуске приложений, которые содержат как подписанный, так и неподписанный код. Начиная с этой версии, при запуске таких приложений пользователь будет оповещен.
Дополнение: исправление аналогичных уязвимостей доступно для проектов OpenJDK 1.6.0 и GNU IcedTea6 (почти сразу вышел релиз IcedTea6 1.7.3 с исправлением еще одной уязвимости).
Источники[править]
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии[править]
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
