Oracle выпустила внеплановый апдейт JDK 7u11


OracleКомпания Oracle выпустила внеплановый апдейт Java SE Development Kit 7, Update 11 (JDK 7u11).

Новая версия JDK 7u11 закрывает недавно упомянутую уязвимость CVE-2013-0422, а также ещё одну критическую уязвимость CVE-2012-3174, известную с 6 июня 2012 года. Новый JDK оснащен дополнительной защитой и идёт с настройкой безопасности High для Java-апплетов и приложений Web Start, вместо прежнего значения по умолчанию Medium.

Java Control Panel

Данная настройка определяет условия, при которых возможно исполнение неподписанных апплетов в песочнице. С прежней настройкой они запускались как обычные апплеты, а теперь перед запуском пользователь увидит предупреждение. Компания Oracle считает, что таким образом можно решить проблему с незаметным запуском эксплойтов через браузер пользователя.

Одновременно выпущено обновление для Java Runtime Environment:

  • (JRE) 6 (билд 1.6.0_37);
  • JRE 5.0 (билд 1.5.0_38);
  • JRE 1.4.2 (билд 1.4.2_40).


После установки нового билда можно снова включать плагин Java в браузере. Пользователям Safari и Firefox, у которых плагин Java был централизованно отключен компаниями Apple и Mozilla, также можно включить его обратно.

Выпустив апдейт намного раньше запланированного срока, компания Oracle обесценила труд авторов эксплойтов. По большому счёту, проблемы с безопасностью Java остаются. Чтобы закрыть все известные на сегодняшний день уязвимости в десктопной версии Java, компании Oracle понадобится около двух лет. На данный момент безопаснее всего предположить, что Java всегда будет уязвимой. На самом деле, людям она не нужна на десктопе.


Обновлено (14.01.2013 12:26)