Java’ning ikkita zaifligi uchun norasmiy yamalar chiqarildi.
Oracle rasmiy yamoqlarni chiqarguncha kutishimiz kerak bo’ladi.
Google Project Zero hamkori Mateusz Jurczyk tomonidan Oracle’ning Java Runtime Environment (RE)’dagi ikkita zaiflik uchun norasmiy yamalar chiqarildi. Oracle’dan rasmiy tuzatishlar hali ham kutilmoqda. Joriy yilning fevral oyida tadqiqotchi Java RE’da chegaradan tashqari o‘qish imkonini beruvchi to‘rtta zaiflikni aniqladi. Muammolar TrueType va OpenType shriftlarini fuzzing (ilovaga noto‘g‘ri yoki tasodifiy ma’lumotlar kirish sifatida kiritiladigan avtomatlashtirilgan yoki yarim avtomatlashtirilgan sinov) deb nomlanuvchi usul yordamida sinovdan o‘tkazish paytida aniqlandi. Google Project Zero zaifliklarga 1779, 1780, 1781 va 1782 kod raqamlarini berdi va ularni “o‘rtacha og‘irlik” deb tasnifladi.
Ishlab chiqaruvchiga aniqlangan muammolar haqida 12-fevral kuni xabar berildi. Biroq, Oracle o’z mutaxassislari tomonidan tasvirlangan hujum stsenariylari hujumchilarga jabrlanuvchining tizimidan to’g’ridan-to’g’ri foydalanishga imkon bermasligini, shuning uchun zaifliklar faqat kelajakdagi Java versiyalarida tuzatilishini ta’kidladi. Natijada, 18-fevral kuni Google Project Zero mutaxassislari zaifliklar tafsilotlarini keng jamoatchilikka oshkor qilishdi.
ACROS Security’dagi 0patch jamoasi yuqorida aytib o‘tilgan ikkita zaiflik uchun yamoqlarni chiqardi va qolgan ikkitasi uchun tuzatishlarni tez orada chiqarishni rejalashtirmoqda. Yamoqlarni bepul yuklab olish mumkin, ammo ular faqat Java 8 update 202 bilan ishlaydi.
Oracle’ning keyingi yangilanishlari 16-aprelda chiqarilishi rejalashtirilgan. Ular yuqorida tavsiflangan zaifliklarni tuzatishni o‘z ichiga olishi mumkin.
