Oracle phát hành bản cập nhật an ninh Java khẩn cấp để sửa lỗi 2.5 tuổi

Oracle mới phát hành bản vá lỗi an ninh khẩn cấp cho Java để sửa chữa lỗi an ninh đã tòn tại khoảng 2.5 năm .

 

Được nhận dạng là CVE-2016-0636 , lỗi này thực chất sửa thứ hai cho CVE-2013-5838 , được Oracle cho rằng đã được vá từ tháng 10.2013 . Hồi đầu tháng này công ty  an ninh Security Explorations cho biết Oracle đã thất bại trong bản vá CVE-2013-5838 , mà lần đầu tiên họ đã phát hiện hồi đầu năm 2013 .

Security Explorations thừa nhận không thông báo cho Oracle trước khi tiết lộ thông tin này và cho rằng việc thực hiện và kiểm tra thuộc về Oracle chứ không phải của họ .

Sau hai tuần được biết về những lỗi này và bây giờ Oracle mới phát hành bản vá lỗi bằng bản Java SE 7 Update 99 và 8 Update 77 .

Oracle nhận định lỗi này được đánh giá điểm nguy hiểm là 9.3/10 ( 10 là nguy hiểm nhất ) và có thể bị khai thác từ xa khi người dùng truy cập tới trang web độc hại .

Lỗi này làm việc trên Java SSE chạy trong những trình duyệt  web Desktop , trên Windows  , Solaris , Linux , và Mac OS . Oracle cho biết rằng những mức độ an ninh ngầm định của Java và những chính sách Click-to-Play ngăn chặn việc khai thác tự động của lỗi này không cần sự tương tác của người dùng . Tuy nhiên tin tặc có thể dùng những thủ đoạn để có thể vượt qua được những hạn chế này .

Vì lỗi này mà tin tặc có thể vượt qua được Sandbox , cho phép chúng chạy những mã độc bên ngoài môi trường Java .

Tất cả người dùng  được khuyến cáo cập nhật cài đặt JAVA nhanh nhất có thể . Java JRE SE được tải về từ trang web của Oracle .