Từ điển
Dịch văn bản
 
Từ điển Anh - Việt
Tra từ
 
 
Dịch song ngữ - Khoa học - Công nghệ
Oracle releases emergency fix for Java zero-day exploit
Oracle phát hành bản vá lỗi khẩn cấp, ngăn chặn khai thác lỗi zero-day trong Java
Oracle released emergency patches for Java on Monday to address two critical vulnerabilities, one of which is actively being exploited by hackers in targeted attacks.
Hãng Oracle đã phát hành bản vá lỗi khẩn cấp cho Java hôm thứ Hai để khắc phục hai lỗ hổng nghiêm trọng, một trong số đó đang bị hacker tích cực khai thác trong các cuộc tấn công có đích nhắm.
The vulnerabilities, identified as CVE-2013-1493 and CVE-2013-0809, are located in the 2D component of Java and received the highest possible impact score from Oracle.
Hai lỗ hổng này, được xác định là CVE-2013-1493 và CVE-2013-0809, nằm ở thành phần 2D của Java và được Oracle đánh giá là có thể gây ảnh hưởng nhiều nhất.  
“These vulnerabilities may be remotely exploitable without authentication, i.e., they may be exploited over a network without the need for a username and password,” the company said in a security alert. “For an exploit to be successful, an unsuspecting user running an affected release in a browser must visit a malicious web page that leverages these vulnerabilities. Successful exploits can impact the availability, integrity, and confidentiality of the user’s system.”
"Những lỗ hổng này có thể được khai thác từ xa mà không cần xác minh, nghĩa là, chúng có thể được khai thác trên mạng mà không cần tên người dùng và mật khẩu," công ty này cho biết trong một cảnh báo bảo mật. "Để lỗi này được khai thác thành công, người dùng không cảm thấy nghi ngờ, chạy một bản phát hành bị tiêm nhiễm trong trình duyệt phải truy cập một trang web độc hại tận dụng những lỗ hổng này. Khai thác thành công có thể sẽ tác động đến tính sẵn có, nguyên vẹn, và bảo mật của hệ thống của người dùng. "
The newly released updates bump Java to versions 7 Update 17 (7u17) and 6 Update 43 (6u43), skipping over 7u16 and 6u42 for reasons that weren’t immediately clear.
Bản cập nhật mới phát hành đã nâng cấp Java lên phiên bản 7, bản cập nhật 17 (7u17) và phiên bản 6, bản cập nhật 43 (6u43), bỏ qua phiên bản 7u16 và phiên bản 6u42 vì những lý do không rõ ràng.  
Oracle notes that Java 6u43 will be the last publicly available update for Java 6 and advises users to upgrade to Java 7. The public availability of Java 6 updates was supposed to end with Java 6 Update 41, released on Feb. 19, but it seems the company made an exception for this emergency patch.
Oracle lưu ý là phiên bản Java 6u43 sẽ là bản cập nhật cuối cùng phát hành rộng rãi cho Java 6 và khuyên người dùng nên nâng cấp lên Java 7.  Các bản cập nhật Java 6 được phát hành rộng rãi lẽ ra đã kết thúc với phiên bản Java 6, bản cập nhật 41, phát hành ngày 19/2, nhưng dường như Oracle đã phá lệ cho bản vá lỗi khẩn cấp này.  
The CVE-2013-1493 vulnerability has been actively exploited by attackers since at least last Thursday, when researchers from security firm FireEye discovered attacks using it to install a piece of remote access malware called McRAT. However, it seems that Oracle was aware of this flaw’s existence since the beginning of February.
Lỗ hổng CVE-2013-1493 đã được hacker tích cực khai thác ít nhất là từ hôm thứ Năm tuần trước, khi mà các nhà nghiên cứu đến từ công ty bảo mật FireEye phát hiện ra các cuộc tấn công sử dụng lỗ hổng này để cài đặt một phần mềm độc hại truy cập từ xa, có tên là McRAT. Tuy nhiên, dường như Oracle đã biết sự tồn tại của lỗi này từ đầu tháng Hai.  
“Though reports of active exploitation of vulnerability CVE-2013-1493 were recently received, this bug was originally reported to Oracle on February 1st 2013, unfortunately too late to be included in the February 19th release of the Critical Patch Update for Java SE,” said Eric Maurice, Oracle’s director of software assurance, in a blog post Monday.
"Dù gần đây việc tích cực khai thác lỗ hổng CVE-2013-1493 đã được báo cáo lại, nhưng trước đây lỗi này được đã báo lại cho Oracle vào ngày 1/2/2013, thật không may là đã quá trễ không thể đưa vào bản cập nhật vá lỗi khẩn cấp phát hành ngày 19/2 dành cho Java SE," ông Eric Maurice, giám đốc bảo đảm chất lượng phần mềm của Oracle bày tỏ, trong một bài viết trên blog hôm thứ Hai.  
The company had planned to fix CVE-2013-1493 in the next scheduled Java Critical Patch Update on April 16, Maurice said. However, because the vulnerability started to be exploited by attackers, Oracle decided to release a patch sooner.
Oracle dự định sẽ khắc phục lỗi CVE-2013-1493 trong bản cập nhật vá lỗi khẩn cấp kế tiếp cho Java dự kiến phát hành vào ngày 16/4, ông Maurice nói.  Tuy nhiên, vì lỗ hổng này đã bắt đầu được hacker khai thác, Oracle quyết định sẽ phát hành bản vá sớm hơn.  
The two vulnerabilities addressed with the latest updates don’t affect Java running on servers, stand-alone Java desktop applications or embedded Java applications, Maurice said. Users are advised to install the patches as soon as possible, he said.
Hai lỗ hổng được khắc phục thông qua bản cập nhật mới nhất không ảnh hưởng đến Java chạy trên các server, ứng dụng Java  độc lập chạy trên máy tính hoặc các ứng dụng Java được nhúng, ông Maurice cho biết. Người dùng nên cài đặt bản vá lỗi càng sớm càng tốt, ông nói.  
Users can disable support for Web-based Java content from the security tab in the Java control panel if they don’t need Java on the Web. The security settings for such content are set to high by default, meaning users are prompted to authorize the execution of Java applets that are unsigned or self-signed inside browsers.
Người dùng có thể vô hiệu hoá hỗ trợ các nội dung Java nền web từ thẻ bảo mật trong bảng điều khiển của Java nếu không cần Java trên Web. Thiết lập bảo mật đối với các nội dung như vậy theo mặc định được thiết lập ở mức cao, nghĩa là người dùng sẽ được hỏi để cho phép thực thi các ứng dụng ký sinh Java chưa được chứng nhận hoặc đã tự chứng nhận bên trong trình duyệt.  
This is designed to prevent the automated exploitation of Java vulnerabilities over the Web, but only works if users are capable of making informed decisions about which applets to authorize and which not to. “In order to protect themselves, desktop users should only allow the execution of applets when they expect such applets and trust their origin,” Maurice said.
Tính năng này được thiết kế nhằm ngăn ngừa việc tự động khai thác các lỗ hổng của Java trên Web, nhưng chỉ hoạt động nếu người dùng có thể đưa ra những quyết định được thông báo trước liên quan đến việc cho phép những ứng dụng ký sinh nào hoạt động và những ứng dụng nào không. "Để tự bảo vệ mình, người dùng máy tính chỉ nên cho phép thực thi các ứng dụng ký sinh khi họ mong đợi những ứng dụng như vậy và tin tưởng nguồn gốc của chúng," ông Maurice chia sẻ.  
 
Đăng bởi: lhbaolv
Bình luận
Đăng bình luận
Bình luận
Đăng bình luận
Vui lòng đăng nhập để viết bình luận.
Gửi