Tietoturva nyt!

15.4.2010

Java-haavoittuvuuden korjaava päivitys tullut

Sunin Javassa versiosta 1.6.0_10 asti ollut haavoittuvuus on korjattu. Ohjelmistovalmistaja ei kuitenkaan kerro kovin tarkasti mitä on korjattu, tai miten haavoittuvuus on korjattu.

Oracle on julkaissut päivityksen 1.6.0_20 Sun Javaan. Turvallisuuspäivitys korjaa haavoittuvuustiedotteessamme 065/2010 (otsikko: Haavoittuvuus Java Web Start -kontrollissa) kuvatun haavoittuvuuden. Haavoittuvuuden avulla Javan sai käynnistämään tietokoneella mielivaltaisen prosessin, minkä avulla esimerkiksi muiden haittaohjelmien lataaminen koneelle oli mahdollista. Tietojemme mukaan haavoittuvuus on ollut Javassa mukana jo versiosta 1.6.0_10. Haavoittuvuus on alunperin tarkoitettu Java-kehittäjien työtä helpottavaksi ominaisuudeksi.

Jos tietokoneella on käytössä Java, se kannattaa päivittää välittömästi. Uusimman version Javasta saa ladattua osoitteesta http://java.com/getjava. Vanhat versiot Javasta kannattaa myös poistaa.

Tietojemme mukaan haavoittuvuutta on jo käytetty hyväksi hyökkäyksessä, jossa tietomurron avulla palvelimelta oli jaettu haavoittuvuuden avulla haittaohjelmapakettia. CERT-FI:lle ei toistaiseksi ole raportoitu suomalaisia sivustoja tai tapauksia, joissa tätä Java-haavoittuvuutta olisi käytetty hyväksi. On kuitenkin todennäköistä että haavoittuvuutta tullaan käyttämään hyväksi laajemminkin, Javan ollessa yksi yleisimmistä web-teknologioista.

Lisätietoa

http://www.h-online.com/security/news/item/Java-exploit-launches-local-Windows-applications-974652.html
http://krebsonsecurity.com/2010/04/unpatched-java-exploit-spotted-in-the-wild/
http://java.sun.com/javase/6/webnotes/6u20.html
http://www.cert.fi/haavoittuvuudet/2010/haavoittuvuus-2010-065.html

Sivua päivitetty 15.04.2010

Tulostusversio