Обновление JavaSE (7u65, 8u11), MySQL и других продуктов Oracle с устранением уязвимостей
Компания Oracle представила плановый июльский выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 7u65 и Java SE 8u11 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 20 проблем с безопасностью.
Все уязвимости в Java могут быть эксплуатированы удалённо без проведения аутентификации. 1 уязвимости (CVE-2014-4227) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 7 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 3 проблемы затрагивают не только клиентские, но и серверные системы.
В JavaSE 8u11 также представлено несколько новшеств: добавлена утилита jdeps (Java Dependency Analysis), в центр настроек добавлена опция для отключения спонсоров, реализован новый атрибут JAR-файлов - Entry-Point, представлено новое свойство для ограничения обработки JAXP - maxElementDepth.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 4 уязвимостях в Solaris, 7 уязвимостях в VirtualBox и 10 уязвимостях в MySQL. Уязвимости в VirtualBox и MySQL отмечены как некритичные (максимальная степень опасности 6.9 и 6.5 из 10). Все уязвимости уже молча исправлены в ранее опубликованных обновлениях MySQL и VirtualBox.