Компания Oracle, в соответствие со своим планом, выпустила очередное обновление безопасности виртуальной платформы Java SE (Standard Edition). Обновление относится к следующим программным продуктам компании: JDK/JRE 7 Update 4 и более ранние; JDK/JRE 6 Update 32 и более ранние; JDK/JRE 5.0 Update 35 и более ранние; SDK/JRE 1.4.2_37 и более ранние; а также JavaFX 2.1 и более ранние версии. Уязвимости затронули лишь один компонент платформы - функции библиотек окружения Java Runtime Environment. В общей сложности было устранено 14 уязвимостей, из которых 6 имели наивысший уровень угроз по классификации CVSS 2.0 Base Score. Все уязвимости не требовали авторизации пользователя. Только две уязвимости (CVE-2012-1720 и CVE-2012-1717) имели локальный характер и являлись специфичными для ОС Solaris, а уязвимость CVE-2012-1717 также применима к Linux-платформам. Другие уязвимости могли использоваться для проведения удаленных атак. Наиболее опасной критической уязвимостью является CVE-2012-1713, она позволяла злоумышленникам получить полный контроль над системой при выполнение специально сформированного запроса к API-функциям модуля работы с 2D-графикой. Большинство оставшихся уязвимостей требовали от пользователи согласия на выполнение Java-приложения, содержащего вредоносный код. Стоит отметить, что две критические уязвимости CVE-2012-1723 и CVE-2012-1725 были обнаружены в функциях модуля HotSpot. Обновленные версии приложений доступны через систему автоматического обновления Java, а также на веб-сайте разработчиков. Следующее обновление Oracle Java SE запланировано на 16 октября 2012 года.
Подробности