Haavoittuvuus Java 7:n versioissa 0-6

Javasta on löytynyt haavoittuvuus, jolle ei ole korjaavaa ohjelmistopäivitystä. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodiaan kohdejärjestelmässä kirjautuneen käyttäjän oikeustasolla.

Haavoittuvuutta tiedetään käytetyn hyväksi kohdistetuissa hyökkäyksissä. Koska haavoittuvuus koskee Javaa, se koskee myös useita eri käyttöjärjestelmiä, kuten Windows XP:tä, OSX:ää ja Linuxia. Haavoittuvuuden hyväksikäyttömenetelmä on myös lisätty Metasploit-testaustyökaluun.

Päivitetty 30.8.2012:

Oracle on julkaissut päivitetyn ohjelmistoversion Java-ohjelmistosta. Yllä mainitun haavoittuvuuden lisäksi päivityksessä on korjattu kolme muutakin haavoittuvuutta.

Päivitetty 6.9.2012:

Apple on julkaissut Java-ohjelmiston päivityksen OS X käyttöjärjestelmälle.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Java 7 (Update 6) ja sitä vanhemmat versiot
  • Java 6 (Update 34) ja sitä vanhemmat versiot (lisätty 30.8.2012)

Ratkaisu- ja rajoitusmahdollisuudet:

Haavoittuvuuden vaikutuksia voi yrittää vähentämällä poistamalla Javan kokonaan käytöstä selaimessaan, tai käyttämällä kolmannen osapuolen laajennuksia kuten NoScriptiä, joka on saatavilla Firefox-selaimelle.

Päivitetty 30.8.2012:

Oracle on julkaissut korjatun Java-version 7.0 update 7. Päivitä ohjelmisto korjattuun versioon joko ohjelmiston oman päivitysmekanismin kautta tai hakemalla uusi versio osoitteesta http://java.com.

Samalla julkaistiin myös päivitys Java 6.0 update 35.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00561 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248