오라클, 자바 제로 데이 익스플로잇 용 비상 픽스 출시

오라클은 두 가지 중대한 취약점을 해결하기 위해 자바 용 긴급 패치를 월요일 공개했다. 그 중 하나는 표적 공격에 해커가 적극적으로 이용하고있다.

CVE- 2013-1493 및 CVE-2013-0809는 Java의 2D 구성 요소에 있으며 오라클의 영향 점수가 가장 높습니다.

"이 취약점은 인증없이 원격으로 악용 될 수 있습니다. 즉, 네트워크를 통해 악용 될 수 있습니다 사용자 이름과 암호가 필요하지 않습니다. "라고 회사는 보안 경고를 통해 밝혔습니다. "악용이 성공하려면 브라우저에서 해당 릴리스를 실행하는 의심하지 않는 사용자가 이러한 취약점을 이용하는 악성 웹 페이지를 방문해야합니다. 성공적인 악용은 사용자 시스템의 가용성, 무결성 및 기밀성에 영향을 줄 수 있습니다. "

[추가 정보: Windows PC에서 악성 코드 제거 방법]

새로 출시 된 업데이트로 Java가 버전 7 Update 17 (7u17) 와 6 Update 43 (6u43)은 7u16과 6u42를 뛰어 넘지 만 이유는 분명하지 않습니다.

오라클은 Java 6u43이 Java 6에 대한 최종 공개 업데이트가 될 것이며 사용자가 Java 7로 업그레이드 할 것을 권고합니다. Java 6 업데이트의 공개 여부는 2 월 19 일에 발표 된 Java 6 Update 41로 끝났지 만이 회사는이 비상 패치를 예외로 생각합니다.

CVE-2013-1493 취약점은 보안 업체 인 파이어 아이 (FireEye)의 연구원이이를 사용하여 McRAT라는 원격 액세스 악성 코드를 설치하는 공격을 발견했을 때 적어도 지난 목요일부터 공격자들을 공격했다. 그러나 오라클은 2 월 초 이래로이 결함의 존재를인지하고있는 것으로 보입니다. "CVE-2013-1493 취약점을 적극적으로보고 한 보고서가 최근에 받았지만이 버그는 원래 2013 년 2 월 1 일 Oracle에보고되었습니다. 불행히도 Java SE 용 중요 패치 업데이트 2 월 19 일 릴리스에 포함 되기에는 너무 늦었습니다. "라고 오라클의 소프트웨어 보증 이사 인 에릭 모리스 (Eric Maurice)가 월요일 블로그 포스트에 발표했다.

CVE- 1493 년 4 월 16 일 예정된 다음 Java Critical Patch Update에서 Maurice는 말했다. 그러나 오라클은 공격자가 취약점을 악용하기 시작했기 때문에 패치를 더 빨리 릴리스하기로 결정했습니다.

최신 업데이트로 해결 된 두 가지 취약점은 서버, 독립 실행 형 Java 데스크탑 응용 프로그램 또는 내장 Java 응용 프로그램에서 실행되는 Java에는 영향을 미치지 않습니다 라고 모리스는 말했다. 사용자는 가능한 한 빨리 패치를 설치해야한다고 그는 말했다.

웹에서 Java가 필요하지 않은 경우 사용자는 Java 제어판의 보안 탭에서 웹 기반 Java 컨텐츠에 대한 지원을 비활성화 할 수 있습니다. 이러한 컨텐츠에 대한 보안 설정은 기본적으로 높음으로 설정되어 있으므로 사용자는 서명되지 않거나 자체 서명 된 브라우저 내부에서 Java 애플릿의 실행 권한을 부여하라는 메시지를 표시합니다.

웹이지만 사용자가 승인 할 애플릿과 그렇지 않은 애플릿에 대한 정보에 근거한 결정을 내릴 수있는 경우에만 작동합니다. "자신을 보호하기 위해 데스크톱 사용자는 애플릿이 예상 될 때 애플릿을 실행하고 해당 애플릿의 출처를 신뢰할 수 있도록 허용해야합니다."라고 Maurice는 말했습니다.