Oracle merilis perbaikan darurat untuk Java zero-day exploit

Oracle merilis tambalan darurat untuk Java pada hari Senin untuk mengatasi dua kerentanan kritis, salah satunya secara aktif dieksploitasi oleh peretas dalam serangan yang ditargetkan.

Kerentanan, diidentifikasi sebagai CVE- 2013-1493 dan CVE-2013-0809, terletak di komponen 2D Java dan menerima skor dampak setinggi mungkin dari Oracle.

“Kerentanan ini dapat dieksploitasi dari jauh tanpa otentikasi, yaitu, mereka dapat dieksploitasi melalui jaringan tanpa perlu nama pengguna dan kata sandi, ”kata perusahaan itu dalam peringatan keamanan. “Untuk mengeksploitasi agar berhasil, pengguna yang tidak curiga menjalankan rilis yang terpengaruh di browser harus mengunjungi laman web jahat yang memanfaatkan kerentanan ini. Eksploitasi yang berhasil dapat memengaruhi ketersediaan, integritas, dan kerahasiaan sistem pengguna. ”

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pembaruan yang baru dirilis menabrak Java ke versi 7 Pembaruan 17 (7u17) dan 6 Perbarui 43 (6u43), melompati 7u16 dan 6u42 untuk alasan yang tidak segera jelas.

Oracle mencatat bahwa Java 6u43 akan menjadi pembaruan publik terakhir yang tersedia untuk Java 6 dan menyarankan pengguna untuk meningkatkan ke Java 7. The ketersediaan publik pembaruan Java 6 seharusnya berakhir dengan Java 6 Update 41, dirilis pada 19 Februari, tetapi tampaknya perusahaan membuat pengecualian untuk patch darurat ini.

Kerentanan CVE-2013-1493 telah secara aktif dieksploitasi oleh penyerang setidaknya sejak Kamis lalu, ketika para peneliti dari firma keamanan FireEye menemukan serangan yang menggunakannya untuk memasang malware akses jarak jauh yang disebut McRAT. Namun, tampaknya Oracle menyadari keberadaan cacat ini sejak awal Februari.

"Meskipun laporan eksploitasi aktif kerentanan CVE-2013-1493 baru-baru ini diterima, bug ini awalnya dilaporkan ke Oracle pada 1 Februari 2013, sayangnya terlambat untuk dimasukkan dalam rilis 19 Februari dari Kritical Patch Update untuk Java SE, ”kata Eric Maurice, direktur jaminan perangkat lunak Oracle, dalam posting blog Senin.

Perusahaan telah merencanakan untuk memperbaiki CVE-2013- 1493 dalam Java Patch Critical terjadwal berikutnya pada 16 April, kata Maurice. Namun, karena kerentanan mulai dieksploitasi oleh penyerang, Oracle memutuskan untuk merilis patch lebih cepat.

Dua kerentanan yang ditangani dengan pembaruan terkini tidak memengaruhi Java yang berjalan di server, aplikasi desktop Java yang berdiri sendiri, atau aplikasi Java tertanam, Kata Maurice. Pengguna disarankan untuk menginstal patch sesegera mungkin, katanya.

Pengguna dapat menonaktifkan dukungan untuk konten Java berbasis web dari tab keamanan di panel kontrol Java jika mereka tidak memerlukan Java di Web. Pengaturan keamanan untuk konten tersebut disetel ke tinggi secara default, yang berarti pengguna diminta untuk mengotorisasi eksekusi applet Java yang tidak ditandatangani atau masuk sendiri di dalam browser.

Ini dirancang untuk mencegah eksploitasi otomatis kerentanan Java selama Web, tetapi hanya berfungsi jika pengguna mampu membuat keputusan berdasarkan informasi tentang applet mana yang diotorisasi dan mana yang tidak. "Untuk melindungi diri mereka sendiri, pengguna desktop hanya boleh mengizinkan eksekusi applet ketika mereka mengharapkan applet semacam itu dan mempercayai asal mereka," kata Maurice.