Анонсирован [6] релиз IcedTea 2.0 [7], первой версии полностью открытой реализации Java SE 7, построенной на базе OpenJDK7 и виртуальной машины HotSpot, с использованием свободных средств сборки. IcedTea 2.0 поддерживает все возможности Java SE 7 [8] и включает внесенные в дерево исходных текстов OpenJDK7 [9] патчи. В IcedTea также интегрировано несколько улучшений, созданных разработчиками проекта. Например, добавлен звуковой драйвер для работы через PulseAudio, обеспечена поддержка использования альтернативных виртуальных машин, реализован 64-разрядный браузерный плагин IcedTea-Web с поддержкой LiveConnect и Java Web Start, добавлена поддержка дополнительных платформ.
В новой версии также отмечено устранение 13 уязвимостей, некоторые из которых могут привести к организации удаленного выполнения кода злоумышленника. Одновременно с IcedTea 2.0 выпущены корректирующие релизы IcedTea 1.8.10, 1.9.10 и 1.10.4, в которых устранены [10] аналогичные уязвимости.
Одновременно компания Oracle представила [11] двадцать девятый корректирующий релиз Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6, в котором устранено 20 уязвимостей [12]. Подробности об устраненных уязвимостях не сообщаются, упоминается только, что некоторые из проблем имеют критический характер и пользователям следует немедленно обновить Java.
19 из 20 уязвимости могут быть эксплуатированы удаленно с вектором атаки через сеть. 5 уязвимостей имеют статус опасных, для 5 уязвимостей степень опасности определена средняя, а для 10 как незначительная. 9 уязвимостей могут привести к выполнению кода при обработке специально оформленного апплета. 10 уязвимостей позволяют получить доступ к закрытым данным или произвести манипуляции с данными не имея на это прав. Одна уязвимость позволяет организовать атаку по подстановке фиктивных значений в кэш DNS.
Известно, что одна уязвимость исправлена в 2D-подсистеме, одна в HotSpot VM, три в Deployment Toolkit, одна в SAAJ, одна в сетевой подсистеме, одна в Swing, одна в звуковой подсистеме, одна в сетевой подсистеме, одна в JAXWS, две в AWT, две в JSSE, две в RMI, две в JRE и одна в подсистеме скриптинга. Опасные уязвимости исправлены в AWT, Deployment Toolkit, JRE и в сетевой подсистеме.
Ссылки:
[1] http://htfl.ru/cat-news-java
[2] http://htfl.ru/cat-news-oracle
[3] http://htfl.ru/cat-news-novosti-po
[4] http://htfl.ru/cat-news-obnovlenie-po
[5] http://htfl.ru/cat-news-uyazvimosti-po
[6] /out.php?link=http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2011-October/016047.html
[7] /out.php?link=http://icedtea.classpath.org
[8] http://htfl.ru/news/kompaniya-oracle-anonsirovala-vykhod-java-se-7
[9] /out.php?link=http://openjdk.org/
[10] /out.php?link=http://mail.openjdk.java.net/pipermail/distro-pkg-dev/2011-October/016038.html
[11] /out.php?link=http://www.oracle.com/technetwork/java/javase/6u29-relnotes-507960.html
[12] /out.php?link=http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html