Oracle merilis perbaikan Java baru, mempercepat siklus penambalan

Oracle merilis pembaruan keamanan Java baru pada hari Selasa dan mengumumkan rencana untuk mempercepat pelepasan patch Java di masa mendatang menyusul serangan terbaru yang telah menginfeksi komputer dengan malware dengan mengeksploitasi kerentanan zero-day di plug-in browser Java.

Pembaruan baru, Java 7 Update 15 dan Java 6 Update 41, mengatasi lima kerentanan tambahan yang tidak dapat dimasukkan dalam pembaruan Java darurat Oracle yang dirilis pada 1 Februari karena keterbatasan waktu. Pada saat itu, Oracle keluar dari siklus patch 4 bulan Java terjadwal untuk menambal kerentanan yang sedang dieksploitasi secara aktif oleh peretas.

Empat dari lima kerentanan yang dibahas dalam pembaruan Selasa dapat dieksploitasi melalui Java Web Start aplikasi pada desktop dan applet Java di peramban Internet, Eric Maurice, direktur jaminan perangkat lunak Oracle, mengatakan pada hari Selasa di sebuah posting blog.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Tiga dari empat kerentanan tersebut menerima peringkat tertinggi pada skala Sistem Skor Kerentanan Umum - 10 - yang berarti mereka sangat penting dan dapat dimanfaatkan untuk sepenuhnya mengkompromikan kerahasiaan, integritas, dan ketersediaan sistem di mana Java berjalan dengan hak istimewa administrator, seperti Windows XP. Pada sistem di mana Java tidak berjalan dengan hak administratif, seperti Linux atau Solaris, dampaknya lebih rendah, kata Maurice.

Kerentanan kelima mempengaruhi penyebaran server Java Secure Socket Extension (JSSE) dan berasal dari Lucky Thirteen attack terhadap implementasi SSL / TLS yang diungkapkan peneliti keamanan awal bulan ini.

Meskipun Java 6 Update 41 baru tersedia untuk diunduh dari situs web Oracle, tidak tersedia dari Java.com dan harus diperoleh secara manual. Fitur pemutakhiran di instalasi Java 6 akan meminta pengguna untuk mengunduh dan menginstal Java 7 Update 15.

Ini adalah langkah yang direncanakan dari Oracle, yang sebelumnya diumumkan pada websitetnya yang akan "memulai pembaruan otomatis semua pengguna Windows 32-bit dari JRE 6 hingga JRE 7 dengan pembaruan rilis Java, Java SE 7 Update 15 (Java SE 7u15), jatuh tempo pada Februari 2013. "

Oracle akan mempercepat siklus patching untuk Java. "Niat Oracle adalah untuk terus mempercepat pelepasan perbaikan Java, terutama untuk membantu mengatasi kelayakan keamanan Java Runtime Environment (JRE) di peramban desktop," kata Maurice.

Jadwal Pembaruan Kritis terjadwal berikutnya untuk Java SE akan akan dirilis pada 16 April, dua bulan dari sekarang, bukan empat, dan akan datang bersamaan dengan Pembaruan Kritis Patch untuk produk non-Java Oracle. Pembaruan patch Java berikutnya setelah itu dijadwalkan untuk 18 Juni.