Спустя две недели после выхода прошлого обновления Java, в котором было устранено 27 уязвимостей, компания Oracle выпустила двадцатое обновление Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6 с исправлением критической уязвимости. Уязвимость позволяет злоумышленнику получить контроль над системой при открытии специально оформленной страницы в любом web-браузере с включенной поддержкой Java. Проблема вызвана некорректной проверкой параметров, передаваемых JavaWS через командную строку, при этом эти параметры можно изменить через HTML-тег "object". Наличие проблемы подтверждено в сборках для Windows и Mac OS X.
Дополнительно сообщается о выходе релиза проекта IcedTea6 1.7, полностью открытой реализации Java SE 6, построенной на базе OpenJDK6 b18 с использованием свободных средств сборки, интеграцией компилятора gcj (GNU Compiler for Java), реализацией некоторых дополнительных возможностей (64-разрядный плагин для LiveConnect и Java Web Start) и расширенной поддержкой платформ. В новой версии из ветки JDK 7 бэкпортировано визуальное оформление Nimbus, компоненты jaxp и jax-ws вынесены из пакета и представлены как внешние зависимости.
|