Apple исправляет критические ошибки Java, но оставляет пользователей Leopard уязвимыми
Сегодняшние обновления Leopard переносят эту ОС на ту же версию Java 6, включенную в Snow Leopard, которую Apple поставила на прошлой неделе. В то же время, однако, обновление не включает в себя самые последние исправления Java, которые Sun поставила в августе. 11.
Согласно рекомендациям Apple обновление исправляет 15 различных уязвимостей в Java и обновляет Java 6 до версии 1.6.0_15, Java 5 до версии 1.5.0_20 и Java 4 до версии 1.4.2_22. Sun опубликовала эти обновления в августе. 4.
Все уязвимости могут позволить "произвольное выполнение кода", Apple-говорить о типе ошибок, которые злоумышленники могут использовать для установки вредоносного кода на компьютер. Хотя другие крупные производители программного обеспечения, такие как Microsoft и Oracle, присваивают рейтинги угроз своим исправлениям ошибок, Apple этого не делает. Например, Microsoft называет такие же недостатки "критическими"."
"Посещение веб-страницы, содержащей злонамеренно созданный ненадежный Java-апплет, может привести к выполнению произвольного кода с привилегиями текущего пользователя", - говорится в рекомендациях Apple, объясняющих, как может работать атака.
Обновление Java применяется только к клиентским и серверным выпускам Mac OS X 10.5, которые в настоящее время находятся на V.10.5.8. Пользователи, все еще работающие под управлением Mac OS X 10.4, aka Tiger, остаются застрявшими на старых версиях Java. Компоненты Java Tiger в последний раз обновлялись Apple 15 июня, когда она увеличила Java 5 до 1.5.0_19 и Java 4 до 1.4.2_21.
Хотя июньское обновление - которое также затронуло Leopard-заткнуло дыры, которые Sun заполнила шесть месяцев назад, сегодняшнее обновление было сложнее по пятам за исправлениями Sun для Windows и Linux. "На самом деле это не так уж плохо для Apple", - сказал Эндрю Стормс, директор по операциям безопасности в Ncircle Network Security, в мгновенном сообщении.
Apple поддерживает свои собственные версии Java и отвечает за доставку патчей пользователям. Как правило, Apple медленно исправляет проблемы, которые исправляет Sun, с шестимесячной задержкой, что не является чем-то необычным. Например, когда Apple обновила Java в сентябре 2008 года, она исправила более двух десятков уязвимостей, некоторые из которых были исправлены в обновлениях Java для Windows, Linux и Solaris еще в марте 2008 года.
Apple попала под огонь из-за своей медлительности. Например, в мае прошлого года исследователь безопасности, возмущенный задержками, опубликовал код атаки, который использовал одну из тогдашних незафиксированных ошибок Java.
Однако даже с сегодняшними обновлениями Leopard все еще не имеет самой последней версии Java 6, которая является 1.6.0_16. Sun отправила это обновление в августе. 11.
Snow Leopard, который поймал flak на этой неделе за доставку уязвимой версии Flash, также не синхронизирован с последней Java-версией Sun. Computerworld today подтвердил, что Snow Leopard устанавливает Java 1.6.0_15 во время своего обновления, что делает его наравне с сегодняшним обновлением Leopard, но все еще на одну версию позади новейшей версии Sun.
Обновления безопасности Java, идентифицированные как Java для Mac OS X 10.5 Update 5, может быть загружен вручную из Apple или установлен с помощью интегрированной службы обновления Mac OS X.
Пользователи могут проверить, что обновления были приняты с помощью JavaTester.org сайт создан блогером Computerworld Майклом Горовицем .
Автор: Keylogger.Org Команда