Корпорация Oracle сегодня выпустила обновленную версию клиентской версии Java 7, а также ввела в строй программы ускоренного отзыва сертификатов для приложений, подвергающих опасности компьютеры. В Java 7 Update 25 были устранены 34 уязвимости, которые затрагивают только клиентскую реализацию Java. Еще 4 уязвимости потенциально опасны как для клиентской, так и для серверной реализации Java, однако уязвимость связана с инсталлятором Java и одна касается инструмента Javadoc, используемого для создания HTML-документов.
Многие из клиентских уязвимостей имеют максимально высокую степень уязвимости по шкале, принятой в Oracle. На практике это означает, что подобные уязвимости могут быть использованы для удаленного доступа к данным без соответствующей авторизации. Как правило, подобные уязвимости работают через Java-апплеты и браузеры.
Отметим, что в этом году в Java было выявлено большое количество уязвимостей, которые заставили многих задуматься о безопасности Java в целом как платформы. Многие компании также всерьез задумались о безопасности Java, так как в корпоративной среде Java часто применяются на серверах с закрытой информацией.
В Oracle рассказали, что в Java 7 Update 25 обновления коснулись не только самой среды исполнения Java и Java-фреймворка, но и сторонних инструментов. Так, в утилите Javadoc были ликвидированы бреши, приводившие к внедрению вредоносных iFrame в легитимные страницы. Одновременно с Java 7u25 был выпущен и новый инструмент Java API Documentation Updater Tool. Также корпорация Oracle ужесточила механизм работы с цифровыми сертификатами, которыми подписываются программы, чтобы сократить количество случаев злоупотреблений данными сертификатами. (Oracle/NovostIT)
