Haavoittuvuus Javassa

Oracle Javan uusimmasta versiosta on löytynyt haavoittuvuus, johon ei ole korjaavaa ohjelmistopäivitystä. Haavoittuvuuden avulla hyökkääjän on mahdollista suorittaa omaa ohjelmakoodia kohdejärjestelmässä. CERT-FI:n tietojen mukaan haavoittuvuutta käytetään hyväksi.

Päivitys 14.1.2013:

Oracle on julkaissut päivitetyn version Java-ohjelmistosta. Päivitys muuttaa lisäksi Javan oletusturvatason korkeaksi (high), jolloin käyttäjää pyydetään vahvistamaan Java-sovellusten suorittaminen selaimessa, mikäli sovellusta ei ole allekirjoitettu.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
Lisätietoa +

Hyökkäystapa

  • Etäkäyttö
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

  • Java SE 7u10 ja aikaisemmat

    Haavoittuvuus ei koske Javan versioita 5.0 ja 6.

Ratkaisu- ja rajoitusmahdollisuudet:

Haavoittuvuuden vaikutuksia voi rajoittaa poistamalla Javan kokonaan käytöstä selaimessaan tai käyttämällä kolmannen osapuolen laajennuksia kuten NoScriptiä, joka on saatavilla Firefox-selaimelle.

Päivitys 14.1.2013:

Oracle on julkaissut korjatun version Java 7 update 11. Päivitä ohjelmisto korjattuun versioon joko ohjelmiston oman päivitysmekanismin kautta tai hakemalla uusi versio osoitteesta http://java.com.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248