现场实操破解开发瓶颈,「2023 百度云智大会·智算大会 开发者沙龙」不容错过! 了解详情
写点什么

研究人员指出最近 Java 频出安全漏洞问题

  • 2010-11-07
  • 本文字数:1050 字

    阅读完需:约 3 分钟

上周,微软研究员 Holly Stewart 在其博客上指出最近 Java 频出安全漏洞问题,已经超越了Adobe Reader 成为黑客首选的攻击目标。Stewart 先生说到,大多数已知的Java 安全漏洞都有对应的修复。特别是3 个长久以来一直存在的问题,分别是与Oracle JVM 相关的 Calendar 反序列化长文件URL 以及 RMI 连接问题,他们一直是黑客们攻击的主要目标。

安全研究员 Brian Krebs 在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击,因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件,黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后,这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台,会告诉买家是否已经成功获得对用户计算机的访问权。Krebs 先生的博客上将这些攻击包的控制台做了截屏,以此表明Java 是深受黑客青睐的攻击目标。

所有这3 个Java 安全漏洞都已在今年3 月得到了修复,其中一个甚至在去年4 月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl 检测出超过10% 的用户还在使用着Java 1.4 或1.5,而Oracle 从去年开始就已经不再支持这两个Java 版本了。即便使用Java 1.6,超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常,消费者并不知晓他们在使用着Java,更不用说使用的版本以及如何升级了。在企业中,桌面电脑通常需要使用旧版本的Java 以支持没有升级的内部应用或是厂商应用。比如说,根据Oracle 所述,如果Java 1.6 升级到了update 22,那么“CVE-2010-3560 修复就会导致运行在新的Java 插件下的某些Java applet 停止工作,因为如果网页包含了JavaScript,而它需要调用Java 以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle 产品在每次Java 小版本发布时都可能会出现问题,因此IT 经理们要时刻保持警惕。与之类似,还在使用Java 1.5 的遗留应用可能会成为受害者,因为Oracle 从去年11 月开始就不再支持Java 1.5 了,只对Java for Business 用户提供补丁程序。

本周,Oracle 为JDK 1.6 发布了 update 22,它修复了 29 个安全问题,其中有些问题影响很大。由于 JVM 支持沙箱,因此 Java 开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上,JVM 实现本身仍然可以直接访问内存,并且可以使用非沙箱语言(如 C 语言)来实现。

查看英文原文: Researchers Highlight Recent Uptick in Java Security Exploits

2010-11-07 03:181772
用户头像

发布了 88 篇内容, 共 256.2 次阅读, 收获喜欢 6 次。

关注

评论

发布
暂无评论
发现更多内容

工作中的设计模式 —— 建造者模式

程序员小航

Java 设计模式 建造者模式

平行世界有尽头:白洞的数字孪生之旅

白洞计划

百分点认知智能实验室李生教授:人工智能正在由感知走向认知

百分点认知智能实验室

架构实战营——作业二: 朋友圈架构分析

开拓纪

微信朋友圈 #架构实战营

数字经济需发展隐私计算下的数据共享

CECBC

数字经济

聪明人的训练(十八)

Changing Lin

4月日更

Sqlserver2008参数化踩的坑

风翱

SqlServer 4月日更

架构实战营模块2作业

阿体

Oozie平台调度

大数据技术指南

oozie 4月日更

模块二作业:微信朋友圈高性能复杂度分析

@oo?金樱子

架构训练营 模块二作业

薛定谔的指南针

架构实战营

数字货币——来看党媒怎么说

CECBC

架构师实战营-模块二作业

大可

架构师实战营 模块二作业 微信朋友圈高性能架构分析

好吃不贵

架构实战营 模块二作业

netspecial

架构实战营

百度、小红书三面,均遇“赛马”问题

执鸢者

面试 大前端

【AI全栈SOTA综述 】这些你都不知道,怎么敢说会AI?【语音识别原理+实战】

cv君

AI 算法 音视频 引航计划

数据仓库为什么要分层

五分钟学大数据

数据仓库 4月日更

模块二 分析微信朋友圈的高性能复杂度

ifc177

让孩子爱上阅读(三)

箭上有毒

读书笔记 4月日更

架构训练营模块 2 作业 - 江哲

江哲

微信朋友圈高性能架构复杂度分析

Hesher

微信 架构 高性能 微信朋友圈 架构实战营

Toolkit 大更新:UI 更美观,用起来更方便!

程序员小航

Java IDEA idea插件 IntelliJ IDEA JSON格式化

架构实战营-模块2作业

夏日

架构训练营

国内首个全院级医疗区块链基础设施成功部署应用

CECBC

区块链

平行世界有尽头:白洞的数字孪生之旅

脑极体

微服务网关:Nacos源码实践(二)

程序员架构进阶

源码分析 nacos 服务治理 28天写作 4月日更

激发Linux+K8S小宇宙!SUSECON硬核上线

Rancher

【案例】星环科技助力郑州商品交易所搭建AI预测模型,提升智能决策水平

星环科技

业务架构训练营第 0 期模块二作业

菠萝吹雪—Code

架构实战营

架构实战营 模块二 课后作业

Lingjun

架构训练营

研究人员指出最近Java频出安全漏洞问题_Java_Tim Cull_InfoQ精选文章