Oracle убивает 40 ошибок Java одним махом

Oracle выпустила Java SE 7u25 с исправлениями для колоссальных 40 уязвимостей безопасности Oracle выпустила Java SE 7u25 с исправлениями для колоссальных 40 уязвимостей безопасности. Большинство ошибок, исправленных в Java SE 7u25, «могут использоваться удаленно без аутентификации», согласно Команда безопасности Oracle ,

Этот критический патч применяется к Java 7 Update 21 и всем предыдущим версиям, Java 6 Update 45 и более ранним версиям и Java 5.0 Update 45 и более ранним. Apple, Java для OS X 2013-004 и Mac OS X v10.6 Обновление 16 был выпущен для Mac OS X v10.6.8, OS X Lion v10.7 или новее и OS X Mountain Lion v.10.8 или новее.

Oracle отметила следующие детали уязвимостей, исправленных в этом обновлении:

  • 37 из этих уязвимостей могут использоваться удаленно без аутентификации.
  • 34 исправления, внесенные с помощью этого уязвимости исправления критического обновления исправлений, которые влияют только на развертывания клиентов. Самая высокая базовая оценка CVSS для этих исправлений только для клиента - 10,0.
  • 4 из уязвимостей, исправленных в этом обновлении критических обновлений, могут повлиять на развертывание клиентов и серверов. Наиболее серьезная из этих уязвимостей получила базовую оценку CVSS 7,5.
  • Одна из уязвимостей, исправленных в этом обновлении «Критическое исправление», затрагивает установщик Java и может использоваться только локально.

В дополнение к вышеупомянутым знаменитостям, Oracle Эрик Морис упомянутый что одно из исправлений влияет на Инструмент Javadoc и документы, которые он создает, описывая проблему и решение следующим образом:

Некоторые HTML-страницы, созданные с помощью любой версии 1.5 или более поздней версии инструмента Javadoc, уязвимы для внедрения кадра. Это означает, что эту уязвимость (CVE-2013-1571, также известную как CERT / CC VU # 225657) можно использовать только через сгенерированные Javadoc HTML-файлы, размещенные на веб-сервере. В случае использования эта уязвимость может дать злоумышленнику возможность вставлять фреймы в уязвимую веб-страницу, что позволяет злоумышленнику направлять ничего не подозревающих пользователей на вредоносные веб-страницы через свои веб-браузеры. Эта уязвимость получила базовый балл CVSS 4,3. С выпуском этого обновления Critical Patch Update Oracle исправила инструмент Javadoc, чтобы он больше не создавал уязвимые страницы, и дополнительно создала утилиту « Инструмент обновления документации Java API » для исправления ранее созданного (и уязвимого) HTML файлы.

Ниже приведен полный список CVE, решенных в этом критическом обновлении:

  • CVE-2013-2470 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2471 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2472 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2473 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2463 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2464 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2465 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2469 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2459 Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: AWT). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2468 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Развертывание). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2466 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Развертывание). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-3743 Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: AWT). Поддерживаются следующие поддерживаемые версии: 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Сложная в использовании уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2462 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Развертывание). Поддерживаемые версии, на которые влияют, 7 Обновление 21 и ранее. Сложная в использовании уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2460 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Удобство обслуживания). Поддерживаемые версии, на которые влияют, 7 Обновление 21 и ранее. Сложная в использовании уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2445 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: Hotspot). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному зависанию операционной системы или к часто повторяющимся сбоям (полная DOS).
  • CVE-2013-2448 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Звук). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Очень трудно использовать уязвимость, позволяющую успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2442 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Развертывание). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Java Runtime Environment, а также доступу на чтение к подмножеству доступных данных Java Runtime Environment и возможности вызвать частичный отказ в обслуживании (частичный DOS) Java Runtime Environment.
  • CVE-2013-2461 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: библиотеки). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Java Runtime Environment, а также доступу на чтение к подмножеству доступных данных Java Runtime Environment и возможности вызвать частичный отказ в обслуживании (частичный DOS) Java Runtime Environment.
  • CVE-2013-2467 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: Установить). Поддерживаются поддерживаемые версии 5.0 Update 45 и более ранние. Сложно использовать уязвимость, требующую входа в операционную систему. Успешная атака этой уязвимости может привести к несанкционированному захвату операционной системы, включая выполнение произвольного кода.
  • CVE-2013-2407 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: библиотеки). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java и возможности вызвать частичный отказ в обслуживании (частичный DOS) среды выполнения Java.
  • CVE-2013-2454 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: JDBC). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Сложная в использовании уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным среды выполнения Java, а также доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2458 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: библиотеки). Поддерживаемые версии, на которые влияют, 7 Обновление 21 и ранее. Сложная в использовании уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным среды выполнения Java, а также доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2444 Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: AWT). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее, 5.0 Обновление 45 и ранее и JavaFX 2.2.21 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) Java Runtime Environment.
  • CVE-2013-2446 Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: CORBA). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2437 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Развертывание). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2400 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Развертывание). Поддерживаемые версии, на которые влияют, 7 Обновление 21 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным среды выполнения Java.
  • CVE-2013-3744 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Развертывание). Поддерживаемые версии, на которые влияют, 7 Обновление 21 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным среды выполнения Java.
  • CVE-2013-2457 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: JMX). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным среды выполнения Java.
  • CVE-2013-2453 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: JMX). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным среды выполнения Java.
  • CVE-2013-2443 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: библиотеки). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2452 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: библиотеки). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2455 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: библиотеки). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2447 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Сеть). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2450 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Сериализация). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированной возможности вызвать частичный отказ в обслуживании (частичный DOS) Java Runtime Environment.
  • CVE-2013-2456 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Сериализация). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2412 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Удобство обслуживания). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Легко эксплуатируемая уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-2449 : Уязвимость в компоненте среды выполнения Java Oracle Java SE (подкомпонент: библиотеки). Поддерживаемые версии, на которые влияют, 7 Обновление 21 и ранее. Сложная в использовании уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки по нескольким протоколам. Успешная атака этой уязвимости может привести к несанкционированному доступу на чтение к подмножеству доступных данных среды выполнения Java.
  • CVE-2013-1571 Уязвимость в компоненте Javadoc Oracle Java SE Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее, 5.0 Обновление 45 и ранее и JavaFX 2.2.21 и ранее. Сложная в использовании уязвимость позволяет успешно проводить неаутентифицированные сетевые атаки через HTTP. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Javadoc.
  • CVE-2013-2451 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: Сеть). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее и 6 Обновление 45 и ранее. Очень сложно использовать уязвимость, требующую входа в операционную систему. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным Java Runtime Environment, а также доступу на чтение к подмножеству доступных данных Java Runtime Environment и возможности вызвать частичный отказ в обслуживании (частичный DOS) Java Runtime Environment.
  • CVE-2013-1500 : Уязвимость в компоненте Java Runtime Environment Oracle Java SE (подкомпонент: 2D). Поддерживаются следующие поддерживаемые версии: 7 Обновление 21 и ранее, 6 Обновление 45 и ранее и 5.0 Обновление 45 и ранее. Легко уязвимая уязвимость, требующая входа в операционную систему. Успешная атака этой уязвимости может привести к несанкционированному обновлению, вставке или удалению доступа к некоторым доступным данным среды выполнения Java, а также доступу на чтение к подмножеству доступных данных среды выполнения Java.

Oracle настоятельно рекомендует всем пользователям Java SE 7 выполнить обновление до этого выпуска. Пользователи Mac могут перейти на сайт Oracle, чтобы скачать Java SE 7u15 как советовали. Пользователи под управлением OS X Lion v10.7 или более поздней версии и OS X Mountain Lion v10.8 или более поздней версии могут перейти на Apple. Java для OS X 2013-004 Страница загрузки для установки обновления 64,01 МБ до 1.6.0_51. Пользователи Mac OS X 10.6.8 Snow Leopard могут перейти на Apple Java для Mac OS X 10.6, обновление 15 Страница загрузки для установки обновления 69,39 МБ до 1.6.0_45. Пользователи, использующие Java SE с браузером, могут загрузить последнюю версию с Java.com ,