写点什么

研究人员指出最近 Java 频出安全漏洞问题

  • 2010-11-07
  • 本文字数:1050 字

    阅读完需:约 3 分钟

上周,微软研究员 Holly Stewart 在其博客上指出最近 Java 频出安全漏洞问题,已经超越了Adobe Reader 成为黑客首选的攻击目标。Stewart 先生说到,大多数已知的Java 安全漏洞都有对应的修复。特别是3 个长久以来一直存在的问题,分别是与Oracle JVM 相关的 Calendar 反序列化长文件URL 以及 RMI 连接问题,他们一直是黑客们攻击的主要目标。

安全研究员 Brian Krebs 在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击,因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件,黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后,这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台,会告诉买家是否已经成功获得对用户计算机的访问权。Krebs 先生的博客上将这些攻击包的控制台做了截屏,以此表明Java 是深受黑客青睐的攻击目标。

所有这3 个Java 安全漏洞都已在今年3 月得到了修复,其中一个甚至在去年4 月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl 检测出超过10% 的用户还在使用着Java 1.4 或1.5,而Oracle 从去年开始就已经不再支持这两个Java 版本了。即便使用Java 1.6,超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常,消费者并不知晓他们在使用着Java,更不用说使用的版本以及如何升级了。在企业中,桌面电脑通常需要使用旧版本的Java 以支持没有升级的内部应用或是厂商应用。比如说,根据Oracle 所述,如果Java 1.6 升级到了update 22,那么“CVE-2010-3560 修复就会导致运行在新的Java 插件下的某些Java applet 停止工作,因为如果网页包含了JavaScript,而它需要调用Java 以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle 产品在每次Java 小版本发布时都可能会出现问题,因此IT 经理们要时刻保持警惕。与之类似,还在使用Java 1.5 的遗留应用可能会成为受害者,因为Oracle 从去年11 月开始就不再支持Java 1.5 了,只对Java for Business 用户提供补丁程序。

本周,Oracle 为JDK 1.6 发布了 update 22,它修复了 29 个安全问题,其中有些问题影响很大。由于 JVM 支持沙箱,因此 Java 开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上,JVM 实现本身仍然可以直接访问内存,并且可以使用非沙箱语言(如 C 语言)来实现。

查看英文原文: Researchers Highlight Recent Uptick in Java Security Exploits

2010-11-07 03:181988
用户头像

发布了 88 篇内容, 共 269.0 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

【转载】图形化系统开发组件X-Series(一)——XrossUnit介绍

赫杰辉

GitHub惊现!JVM G1GC的算法+实现,90张图+33段代码,你的面试专属!

Java架构师迁哥

家务活中的python协程

行者AI

协程 python学习

Redis的适用场景简单剖析

大数据技术指南

redis 4月日更

聪明人的训练(二十二)

Changing Lin

4月日更

智汇华云 | ArSDN打通软件定义数据中心的“任督二脉”

华云数据

彻底搞懂ThreadLocal

千珏

Java 源码分析 多线程 ThreadLocal

2021年3月券商App行情刷新及交易体验评测报告

博睿数据

打造创新模型,博睿数据首倡服务可达的数据链DNA

博睿数据

Golang 对象池

escray

学习 极客时间 Go 语言 4月日更

肝了15000字性能调优系列专题(JVM、MySQL、Nginx and Tomcat),看不完先收藏

北游学Java

Java MySQL nginx tomcat JVM

如何深入的学习C语言

cdhqyj

编程 C语言 计算机 嵌入式

前端DDD总结与思考

白玉兰开源

大前端 DDD

知识分享:SQL注入的流程和步骤

Thrash

sql

一文搞定 Flink Job 的运行过程

shengjk1

flink flink源码 flink源码分析

博睿数据携数据链DNA创新理念,闪耀金融科技应用发展研讨会四川站

博睿数据

轻松带你学习java-agent

华为云开发者联盟

Java Trace Java虚拟机 java-agent 挂载

什么是Selenium?使用Selenium进行自动化测试

码语者

DevOps selenium

前端规范之路

白玉兰开源

大前端 开发规范

Redis为什么是单线程?高并发响应快?

Linux服务器开发

redis Linux服务器开发 网络io C++后端开发 单线程

一个诡异的MySQL查询超时问题,居然隐藏着存在了两年的BUG

CoderW

Java MySQL 数据库 程序员 互联网

混搭的美感|靠谱点评

无量靠谱

从源码分析 MySQL 死锁问题入门

比伯

Java 编程 程序员 架构 计算机

一入爬虫深似海,从此早睡是路人

Thrash

软件测试——教育机构课程顾问常见黑话大全

程序员阿沐

程序员 软件测试 教育 机构 教育培训

简简单单才是真,初试 Svelte

LeanCloud

前端⼤规模构建演进实践

白玉兰开源

架构 大前端

重磅来袭:Spring之RequestBody的使用姿势小结

学Java关注我

Java 编程 架构 技术 程序人生

华云大咖说 | 华云数据与数科网维携手共建国产云生态

华云数据

2020年12月的面试经历:美团4面+字节4面(均已拿offer),面试真题分享

Java架构师迁哥

0门槛成为“技术牛人”!星环科技线上分享课“星课堂”开播,快来报名,一探究竟

星环科技

人工智能 数据库 云计算 大数据 直播技术

研究人员指出最近Java频出安全漏洞问题_Java_Tim Cull_InfoQ精选文章