Обновление Java SE 7 Update 51 и других продуктов Oracle с устранением уязвимостей

15 января 2014 года

Компания Oracle представила плановый корректирующий выпуск Java SE 7 Update 51 (номер версии присвоен в соответствии с новой схемой нумерации выпусков), в котором устранено 36 проблем с безопасностью, а также внесена порция улучшений, направленных на увеличение безопасности.

34 уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. 5 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 3 проблемы затрагивают не только клиентские, но и серверные системы. При этом одна уязвимость в серверной версии Java отмечена как критическая, так как она позволяет инициировать передачу данных через API без выполнения изолированного приложения Java Web Start или Java апплета.

Из добавленных в Java SE 7 Update 51 улучшений можно отметить ужесточение применяемых по умолчанию требований к апплетам и приложениям Web Start, выполняемым в браузере. Для выполнения подобных приложений теперь обязательно требуется валидная цифровая подпись и наличие атрибута "Permissions" в файле с манифестом. Все самоподписанные и неподписанные Java-апплеты теперь будут блокироваться в установленном по умолчанию режиме высокой безопасности. В режиме средней безопасности для подобных программ будет выводится специальное предупреждение.

При желании пользователь может вручную добавить определённые сайты, содержащие апплеты, не удовлетворяющие новым требованиям, в специальный список исключений. Кроме того, изменены применяемые по умолчанию права доступа к сетевым сокетам: если раньше приложения могли осуществить привязку к сокетам с номером порта выше 1024, то теперь доступны только порты верхнего диапазона (обычно 49152-65535), для присоединения к остальным портам требуется явное разрешение доступа.

Кроме проблем в Java, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях в VirtualBox и 18 уязвимостях в MySQL. Уязвимости в VirtualBox отмечены как некритичные. В MySQL лишь одной уязвимости присвоен максимальный уровень опасности, при этом данная уязвимость специфична для MySQL Enterprise Monitor. Три уязвимости позволяют инициировать крах СУБД при неаутентифицированном удалённом доступе к серверу, но данные проблемы отмечены как маловероятные из-за большой сложности эксплуатации. Остальные уязвимости требуют аутентифицированного доступа к СУБД и приводят к возможности осуществления отказа в обслуживании. Все уязвимости уже молча исправлены в ранее опубликованных обновлениях MySQL и VirtualBox.