Oracle vá lỗ hổng Java Zero-Day

Oracle vừa tung ra một bản cập nhật lớn định kì của mình với gần 200 lỗ hổng. Bản phát hành lớn của Oracle vá một danh sách dài các sản phẩm nhưng lỗ hổng Java là trung tâm. Đáng chú ý nhất là bản vá lỗ hổng Java Zero-Day mới được khai thác gần đây.

Bản Critical Patch Update này có 25 bản vá dành cho Oracle Java SE. Trong đó có 23 lỗ hổng Java SE có thể bị khai thác từ xa mà không cần xác thực; 16 bản vá chỉ dành cho Java client; 5 bản vá dành cho cả client và server; một bản vá đặc biệt dành cho nền tảng Mac; 4 bản vá dành cho JSSE và quan trọng nhất là bản vá lỗ hổng Zero-Day (CVE-2015-2590)

CVE-2015-2590 bị khai thác trong chiến dịch tấn công thành viên tổ chức NATO và các công ty quốc phòng Mỹ. Khai thác được phát tán thông qua email lừa đảo. Khi người dùng nhấn vào URL độc hại trong email, họ sẽ bị chuyển hướng đến khai thác. Đây là lỗ hổng Java zero-day đầu tiên được phát hiện sau hai năm.

Ngoài 193 bản vá được phát hành hôm qua, Oracle cũng nhắc nhở khách hàng cài đặt bản vá từ tháng 5 với lỗ hổng VENOM trong trình điều khiển đĩa mềm ảo QEMU.

threatpost