Компания Oracle в дополнение к выпущенному (http://www.opennet.dev/opennews/art.shtml?num=35999) в начале февраля экстренному обновлению Java SE с устранением 50 уязвимостей представила (https://blogs.oracle.com/security/entry/updated_february_201...) плановые корректирующие выпуски Java SE 7 Update 15 (http://www.oracle.com/technetwork/java/javase/7u15-relnotes-...) и Java SE 6 Update 41 (http://www-content.oracle.com/technetwork/java/javase/6u41-r...), в которых устранено 5 новых (http://www.oracle.com/technetwork/topics/security/javacpufeb...) проблем с безопасностью.
Трём уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все уязвимости присутствуют JRE (две в библиотеках и по одной в JMX, Deployment Toolkit и JSSE) и подвержены удалённой эксплуатации без проведения аутентификации. Одна из проблем затрагивает не только клиентские системы (браузерный плагин), но и серверные установки. Указанной проблеме присвоен незначительный уровень опасности CVSS 4.7. Уязвимость связана с возможностью совершения атаки (http://www.opennet.dev/opennews/art.shtml?num=36056) по выявлению содержимого отдельных блоков SSL/TLS-соединений.
В связи c прекращением времени жизни ветки Java SE 6, для которой больше не будут выпускаться публичные обновления, компания Oracle реализовала в Java SE 7 функцию удаления компонентов Java SE 6 при установке новой версии. Подобное действие добавлено для того, чтобы исключить наличие в системе старых уязвимых версий Java. Кроме того, принято решение об увеличении частоты выпусков обновлений Java с устранением уязвимостей. Вместо двух раз в год, обновления будут выпускаться четыре раза в год. Следующие обновления намечены на 16 апреля, 18 июня, 15 октября и 14 января.
Одновременно выпущены (http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2013-F...) обновления IcedTea 1.11.8 и 1.12.3, полностью открытой реализации Java SE 6, построенной на базе OpenJDK и виртуальной машины HotSpot, с использованием свободных средств сборки. В новой версии устранены 3 уязвимости. Немного раньше были опубликованы корректирующие выпуски IcedTea7 2.3.6 (http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2013-F...), 2.1.5 и 2.2.5 (http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2013-F...) с устранением прошлой порции уязвимостей, обновления с устранением уязвимостей в Java SE 7 Update 15 задерживаются.
URL: https://blogs.oracle.com/java/entry/scheduled_critical_patch...
Новость: http://www.opennet.dev/opennews/art.shtml?num=36165