Ads 468x60px

lauantai 1. syyskuuta 2012

Kuinka päivittää Javan 0-päivähaavoittuvuus?

Viime päivinä on kohistu paljon Javaa koskevasta 0-päivä haavoittuvuusta. Lyhykäisyydessään julkisuuteen tullut haavoittuvuus mahdollistaa vihamielisen ohjelmakoodin suorittamisen uhrin koneella. Huolimatta haavoittuvuuden vakavuudesta, niin Javan oleminen koneella ei tarkoita automaattisesti sitä, että käyttäjän koneeseen murtauduttaisiin. Hyökkäyksen onnistuminen edellyttää, uhrin koneelle on asennettuna Java, selaimessa oleva Java-plugin on päällä ja että uhri avaa vihamielisen web-sivun, joka sisältää vihamielisen Java-sovelluksen. Vasta tämän jälkeen hyökkäys onnistuu. (Lähtökohtaisesti tosin mikäli koneeseen on asennettu Java, niin myös selaimen Java-plugin on päällä. Esimerkiksi Sampopankin tunnistautuminen vaatii Java-pluginin päällä olon.)

Onneksemme Oracle on julkaissut päivityksen 30.8.2012 haavoittuvuuteen. Päivityksen voi ladata joko suoran Oraclen web-sivulta (http://java.com) tai Javan voi päivittää Javan oman työkalun kautta.

Ohessa pikaohje päivityksen asentamiseksi Windows-järjestelmissä:

  • Tarkista käytössäsi oleva Java versio: Käynnistä Javan kontrollipaneeli
  • Selvitä käytössä oleva Java-versio:
  • Jos kohdassa 4. näkyy Java 7 Update 6 (tai sitä vanhempi versio) tai Java 6 Update 34 (tai tätä vanhempi), niin koneessa on haavoittuva Java versio.
  • Päivittääksesi Javan, valitse Update-välilehti (kohta 5) ja klikkaa Päivitä heti (kohta 6).
  • Seuraa päivitysprosessin ohjeita, lähinnä hyväksymällä ehdotetut valinnat. Lopputuloksena Java version tulisi olla päivittyneenä ehjään versioon. Tarkasta lopuksi, että Java versio on joko Java 7 Update 7 tai Java 6 Update 35.

Leppoisaa viikon loppua ehjän Javan parissa,
Antti

2 kommenttia:

Anssi Porttikivi kirjoitti...

Niin tuosta päivityksestähän löytyi uusi haavoittuvuus sitten: http://seclists.org/bugtraq/2012/Aug/225

Anssi Porttikivi kirjoitti...

Turvallisinta toki mennä kuten Antti neuvoi edellä. Tuohon uuteen haavoittuvuuteen ei kohdistu myöskään tunnettuja hyökkäyksiä, eikä siitä muutenkaan vielä paljon tiedetä. Mutta siis löytäjällä (Security Explorations, joka on löytänyt aika paljon niitä vanhempiakin Java-ongelmia) on hyökkäysdemo, joka on lähetetty Oraclelle.

Lähetä kommentti