Обновление Java 6 update 15 и Java 5 Update 20 с исправлением уязвимостей

05.08.2009 16:15

Компания Sun Microsystems выпустила пятнадцатое обновление Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6, в котором зафиксировано 37 исправлений ошибок. Одновременно выпущено и двадцатое обновление JDK/JRE 5.0.

Отдельного внимания заслуживают исправления с устранением проблем безопасности, некоторые из которых позволяют java-апплету злоумышленника получить полный доступ к системе. Например, злоумышленник может получить полный доступ к локальным файлам и произвести запуск внешних приложений, используя целочисленное переполнение в коде обработки JPEG изображений или ошибку в реализации метода распаковки JAR-файлов Unpack200.

Проблемы в системе проверки основанных на HMAC XML сигнатур позволяют обойти процесс аутентификации из-за возможности создания поддельной XML-сигнатуры, воспринимаемой системой в качестве валидной. Уязвимость в коде SOCKS proxy может быть использована для определения имени и содержимого браузерных cookie для пользователя, запустившего апплет злоумышленника. Недоработка в аудио подсистеме JRE, позволяет непривилегированному апплету получить доступ к системным свойствам "java.lang.System".

Также в состав Java 6 update 15 добавлено несколько новых корневых сертификатов и включен обновленный черный список с цифровыми подписями сторонних jar файлов в которых присутствуют нерешенные проблемы безопасности.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/22888-java

Ключевые слова: java

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (21)

1.1, дядя (?), 16:44, 05/08/2009 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Давно уже пора яву вырубить топором из браузеров.

2.2, Александр (??), 17:03, 05/08/2009 [^] [^^] [^^^] [ответить]	+1 +/–
А она там что ли наглухо приколочена? Отключается легко и без проблем. Кому-то может это еще нужно. Да еще JavaFX на подходе.

3.11, дядя (?), 21:29, 05/08/2009 [^] [^^] [^^^] [ответить]	+/–
Так да, она наглухо приколочена к каждому браузеру. Лично мне не нужны даже опции касательно этого говна. Пусть интегрируется невидимым плагином как флеш, а для тех кому ненужно - чтобы и духу небыло !

4.13, aparusov (?), 22:08, 05/08/2009 [^] [^^] [^^^] [ответить]	+/–
>Так да, она наглухо приколочена к каждому браузеру. >Лично мне не нужны даже опции касательно этого говна. >Пусть интегрируется невидимым плагином как флеш, а для тех кому ненужно - >чтобы и духу небыло ! Не нужно путать технологии Java (SE в данном случае) и JavaScript, - это совершенно разные технологии. Платформа Java SE ставится отдельно от броузера и как правила бывает связана с ним плагином для запуска апплетов (Java программ) из инета. JavaScript интегрирован в броузер, но может отключаться в настройках.

5.14, дядя (?), 22:51, 05/08/2009 [^] [^^] [^^^] [ответить]	+/–
Именно я и не путаю. Зайдите в настройки и увидите галочку "включить/отключить яву". Т.е. для явы браузерам приходится лепить специальные биндинги. Мне это абсолютно не надо. Я не хочу чтобы браузер как-то особенно обрабатывал её и содержал для этого код. В топку. Самое печальное что если ява на машине установлена, то автоматически включена тем же фаерфоксом. И никто не спросил, а действительно ли меня это устраивает.

6.22, waf (ok), 09:49, 06/08/2009 [^] [^^] [^^^] [ответить]	+/–
>Зайдите в настройки и увидите галочку "включить/отключить яву". Это небось наследие тех времён, когда для работы Явы требовались какие-то особые действия со стороны браузера. Уж и не знаю, кто ещё помнит про эту галочку, кроме вас -- все рулят плагином через соответствующий интерфейс. Ява в браузере действительно болевая точка для пользователя, тут все понемногу виноваты, и создатели браузеров, и Sun, и в какой-то мере операционки. В Sun видно по крайней мере желание учесть свои ошибки.

2.16, Аноним (-), 23:39, 05/08/2009 [^] [^^] [^^^] [ответить]	+/–
В браузерах Java нет. А javascript никакого отношения к Java не имеет, и если его вырубить - то тогда непонятно, как Ajax странички создавать, да и гугл автоматически прикрыть придется - как же там без javascript.

3.19, дядя (?), 03:03, 06/08/2009 [^] [^^] [^^^] [ответить]	–1 +/–
Капитан очевидность, вы ошиблись. Поищите в настройках "отключить яву". Да, сама ява не идёт в комплекте, но код для работы с ней идёт. яваскрипт тут абсолютно не причём.

4.24, vitek (??), 13:12, 06/08/2009 [^] [^^] [^^^] [ответить]	+/–
атавизм, оставшийся в некоторых браузерах с тех времён, когда java была чуть ли не единственным плагином вообще. с таким же успехом он отключается в настройках дополнений, как и остальные, например flash. ps: успокойтесь уже. Вы не правы.

5.26, дядя (?), 05:05, 07/08/2009 [^] [^^] [^^^] [ответить]	+/–
Этот атавизм есть в последних версиях фаерфокса, оперы, сафари и конверора. Про ie и хром не знаю. Т.е. фактически везде. А с каких времён он там остался - меня абсолютно не волнует, хотя прекрасно их помню. Вот когда уберут везде в плагины, тогда я и буду спокоен :)

6.27, vitek (??), 12:00, 07/08/2009 [^] [^^] [^^^] [ответить]	+/–
он и есть в плагинах. пока его не поставишь - не работает. например у меня сделан симлинк /usr/lib/firefox/plugins/libjavaplugin.so на библу /usr/lib/jvm/java-6-sun/jre/lib/amd64/libnpjp2.so - по традиции 2-е буквы в имени np говорят, что это netscape plugin. угомонитесь уже.

1.4, plamya (??), 17:13, 05/08/2009 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
у них апдэйты эти последнее время стали тока всё портить.. например с 12го апдейта у меня перестали работать некоторые приложения.. обидно..

2.6, Iv945n (ok), 17:23, 05/08/2009 [^] [^^] [^^^] [ответить]	+/–
>у них апдэйты эти последнее время стали тока всё портить.. например с >12го апдейта у меня перестали работать некоторые приложения.. обидно.. Вероятно это означает что код написан некошерным образом, с примененрем депрецированных конструкций или каких-то неординарных решений.

3.8, plamya (??), 19:01, 05/08/2009 [^] [^^] [^^^] [ответить]	+/–
Возможно, хотя я сомниваюсь, что IBM пишет кривой софт..

4.9, Iv945n (ok), 19:13, 05/08/2009 [^] [^^] [^^^] [ответить]	+/–
>Возможно, хотя я сомниваюсь, что IBM пишет кривой софт.. А я вот не сомневаюсь, при вcём моём уважении к IBM.

2.7, XoRe (ok), 17:36, 05/08/2009 [^] [^^] [^^^] [ответить]	+1 +/–
>у них апдэйты эти последнее время стали тока всё портить.. например с >12го апдейта у меня перестали работать некоторые приложения.. обидно.. Вирусы пишем? =)

1.15, zed (??), 23:07, 05/08/2009 [ответить] [﹢﹢﹢] [ · · · ]	+/–
нда, а во фре jdk-1.6.0.3p4_11

2.18, Zenitur (?), 01:48, 06/08/2009 [^] [^^] [^^^] [ответить]	+/–
Поменяй файлы на бинарники с сайта. Имена у файлов те же, некритично

3.21, iZEN (ok), 08:25, 06/08/2009 [^] [^^] [^^^] [ответить]

+/–

>Поменяй файлы на бинарники с сайта.

Это как? O_o

JDK 6u15 отличается от 6u3 колоссально — прежде всего новым механизмом рендеринга через OpenGL и новой графической схемой Swing Nimbus.

Sun JDK для FreeBSD распространяется в исходниках с некоторыми бинарными файлами. А также в бинарных пакетах под грифом Diablo JDK (эти не нужно компилировать).
Так вот, для установки Sun JDK 6u15 нужно ждать Diablo JDK новой версии или же порта с необходимыми патчами, а патчей там предостаточно.

4.23, uZver (??), 10:42, 06/08/2009 [^] [^^] [^^^] [ответить]	+/–
> Так вот, для установки Sun JDK 6u15 нужно ждать Diablo JDK новой версии или же порта с необходимыми патчами, а патчей там предостаточно. а что OpenJDK 6 и IcedTea 6 для FreeBSD не собираются? или их не внесли в порты?

2.28, iZEN (ok), 19:15, 07/08/2009 [^] [^^] [^^^] [ответить]	+/–
Я списался с разработчком порта java/jdk16 на тему, когда же, наконец, будет порт последней версии Java. А он, оказывается, не уверен, есть ли в природе исходники Java 6u15!!! :LOL: :))) Пришлось срочно дать ему линк на страничку загрузки исходников. :)

игнорирование участников | лог модерирования

Добавить комментарий

Текст: