ओरेकल जावा शून्य-दिन शोषण के लिए आपातकालीन सुधार जारी करता है

ओरेकल ने सोमवार को दो महत्वपूर्ण भेद्यताओं को संबोधित करने के लिए जावा के लिए आपातकालीन पैच जारी किए, जिनमें से एक सक्रिय रूप से लक्षित हमलों में हैकर्स द्वारा शोषित किया जा रहा है।

कमजोरियों को सीवीई- 2013-1493 और सीवीई-2013-080 9, जावा के 2 डी घटक में स्थित हैं और ओरेकल से उच्चतम संभावित प्रभाव स्कोर प्राप्त करते हैं।

"ये भेद्यता प्रमाणीकरण के बिना दूरस्थ रूप से शोषक हो सकती हैं, यानी, नेटवर्क पर उनका शोषण किया जा सकता है एक उपयोगकर्ता नाम और पासवर्ड की आवश्यकता के बिना, "कंपनी ने एक सुरक्षा चेतावनी में कहा। "एक शोषण सफल होने के लिए, एक अप्रत्याशित उपयोगकर्ता को ब्राउज़र में एक प्रभावित रिलीज चलाने के लिए एक दुर्भावनापूर्ण वेब पेज पर जाना चाहिए जो इन भेद्यताओं को लेता है। सफल शोषण उपयोगकर्ता की प्रणाली की उपलब्धता, अखंडता और गोपनीयता को प्रभावित कर सकता है। "

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

नए रिलीज किए गए अपडेट जावा को संस्करण 7 अपडेट 17 (7u17) पर टक्कर देते हैं। और 6 अपडेट 43 (6u43), 7u16 और 6u42 से अधिक कारणों को छोड़कर जो तुरंत स्पष्ट नहीं थे।

ओरेकल ने नोट किया कि जावा 6u43 जावा 6 के लिए अंतिम सार्वजनिक रूप से उपलब्ध अपडेट होगा और उपयोगकर्ताओं को जावा 7 में अपग्रेड करने की सलाह देगा। जावा 6 अपडेट की सार्वजनिक उपलब्धता को जावा 6 अपडेट 41 के साथ समाप्त होना था, जिसे 1 9 फरवरी को जारी किया गया था, लेकिन ऐसा लगता है कि कंपनी ने इस आपातकालीन पैच के लिए अपवाद बनाया है।

सीवीई-2013-1493 भेद्यता का सक्रिय रूप से शोषण किया गया है कम से कम पिछले गुरुवार से हमलावर, जब सुरक्षा फर्म फायरएई के शोधकर्ताओं ने मैक्रैट नामक रिमोट एक्सेस मैलवेयर का एक टुकड़ा स्थापित करने के लिए इसका इस्तेमाल करके हमलों की खोज की। हालांकि, ऐसा लगता है कि ओरेकल फरवरी की शुरुआत से इस दोष के अस्तित्व से अवगत था।

"यद्यपि कमजोरता सीवी-2013-1493 के सक्रिय शोषण की रिपोर्ट हाल ही में प्राप्त हुई थी, लेकिन इस बग को मूल रूप से 1 फरवरी 2013 को ओरेकल को सूचित किया गया था, सोमवार को एक ब्लॉग पोस्ट में ओरेकल के सॉफ्टवेयर आश्वासन के निदेशक एरिक मॉरीस ने कहा, दुर्भाग्यवश, फरवरी 1 9 फरवरी में जावा एसई के लिए क्रिटिकल पैच अपडेट की रिलीज में बहुत देर हो चुकी है।

कंपनी ने सीवीई -2013- 16 9 3 को अगले निर्धारित जावा क्रिटिकल पैच अपडेट में 14 9 3, मॉरीस ने कहा। हालांकि, क्योंकि हमलावरों द्वारा भेद्यता का शोषण शुरू किया गया था, ओरेकल ने जल्द ही एक पैच जारी करने का फैसला किया।

नवीनतम अपडेट के साथ संबोधित दो भेद्यता सर्वर पर चल रहे जावा को प्रभावित नहीं करती हैं, अकेले जावा डेस्कटॉप एप्लिकेशन या एम्बेडेड जावा अनुप्रयोग, मॉरीस ने कहा। उपयोगकर्ताओं को सलाह दी जाती है कि जितनी जल्दी हो सके पैच स्थापित करें।

यदि जावा पर वेब की आवश्यकता नहीं है तो उपयोगकर्ता जावा नियंत्रण पैनल में सुरक्षा टैब से वेब-आधारित जावा सामग्री के लिए समर्थन अक्षम कर सकते हैं। ऐसी सामग्री के लिए सुरक्षा सेटिंग्स डिफ़ॉल्ट रूप से उच्च पर सेट की गई हैं, जिसका अर्थ है कि उपयोगकर्ताओं को जावा एप्लेट्स के निष्पादन को अधिकृत करने के लिए कहा जाता है जो अनगिनत या स्वयं हस्ताक्षरित ब्राउज़र के अंदर हस्ताक्षर किए जाते हैं।

यह जावा भेद्यता के स्वचालित शोषण को रोकने के लिए डिज़ाइन किया गया है वेब, लेकिन केवल तभी काम करता है जब उपयोगकर्ता सूचित निर्णय लेने में सक्षम हैं कि किस एप्लेट को अधिकृत करना है और कौन सा नहीं है। "अपने आप को बचाने के लिए, डेस्कटॉप उपयोगकर्ताओं को केवल ऐप्पल के निष्पादन की अनुमति देनी चाहिए जब वे ऐसे एप्लेट्स की अपेक्षा करते हैं और उनकी उत्पत्ति पर भरोसा करते हैं," मॉरीस ने कहा।