写点什么

研究人员指出最近 Java 频出安全漏洞问题

  • 2010-11-07
  • 本文字数:1050 字

    阅读完需:约 3 分钟

上周,微软研究员 Holly Stewart 在其博客上指出最近 Java 频出安全漏洞问题,已经超越了Adobe Reader 成为黑客首选的攻击目标。Stewart 先生说到,大多数已知的Java 安全漏洞都有对应的修复。特别是3 个长久以来一直存在的问题,分别是与Oracle JVM 相关的 Calendar 反序列化长文件URL 以及 RMI 连接问题,他们一直是黑客们攻击的主要目标。

安全研究员 Brian Krebs 在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击,因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件,黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后,这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台,会告诉买家是否已经成功获得对用户计算机的访问权。Krebs 先生的博客上将这些攻击包的控制台做了截屏,以此表明Java 是深受黑客青睐的攻击目标。

所有这3 个Java 安全漏洞都已在今年3 月得到了修复,其中一个甚至在去年4 月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl 检测出超过10% 的用户还在使用着Java 1.4 或1.5,而Oracle 从去年开始就已经不再支持这两个Java 版本了。即便使用Java 1.6,超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常,消费者并不知晓他们在使用着Java,更不用说使用的版本以及如何升级了。在企业中,桌面电脑通常需要使用旧版本的Java 以支持没有升级的内部应用或是厂商应用。比如说,根据Oracle 所述,如果Java 1.6 升级到了update 22,那么“CVE-2010-3560 修复就会导致运行在新的Java 插件下的某些Java applet 停止工作,因为如果网页包含了JavaScript,而它需要调用Java 以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle 产品在每次Java 小版本发布时都可能会出现问题,因此IT 经理们要时刻保持警惕。与之类似,还在使用Java 1.5 的遗留应用可能会成为受害者,因为Oracle 从去年11 月开始就不再支持Java 1.5 了,只对Java for Business 用户提供补丁程序。

本周,Oracle 为JDK 1.6 发布了 update 22,它修复了 29 个安全问题,其中有些问题影响很大。由于 JVM 支持沙箱,因此 Java 开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上,JVM 实现本身仍然可以直接访问内存,并且可以使用非沙箱语言(如 C 语言)来实现。

查看英文原文: Researchers Highlight Recent Uptick in Java Security Exploits

2010-11-07 03:181990
用户头像

发布了 88 篇内容, 共 269.2 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

整个汽车产业链,都能“挤上”这朵云?

白洞计划

弹性伸缩,轻松上云-华为云弹性云服务器 ECS

清欢科技

如何判断等保测评机构有资质?符合要求?

行云管家

等保 等级保护 等保测评 等保测评机构

react hook 源码完全解读

flyzz177

React

React组件复用的技巧

夏天的味道123

React

和至少为 K 的最短子数组

掘金安东尼

算法 10月月更

云安全企业有哪些?哪些比较知名?

行云管家

云计算 网络安全 云安全

React组件复用的发展史

夏天的味道123

React

今天终于知道 Redis 为什么要用跳跃表了

C++后台开发

redis 中间件 后端开发 跳表 C++开发

欢迎光临2022年的汽车穿梭餐厅

澳鹏Appen

人工智能 语音识别 数据标注 语音标注 语音数据

假如问:你是怎样优化Vue项目的,该怎么回答

bb_xiaxia1998

Vue

React源码解读之更新的创建

flyzz177

React

C++模板进阶

可口也可樂

c++ 模板 10月月更

C++栈/队列/堆使用及模拟

可口也可樂

c++ 数据结构 10月月更

React组件通信

xiaofeng

React

前端常见手写面试题(持续更新中)

helloworld1024fd

JavaScript

Vue响应式依赖收集原理分析-vue高级必备

yyds2026

Vue

手写JS函数的call、apply、bind

helloworld1024fd

JavaScript

前端展示中实现批量标签动态生成

葡萄城技术团队

批量 BI 报表 商业智能 打印

C++基础IO流

可口也可樂

c++ IO流 10月月更

一文读懂 DevSecOps:工作原理、优势和实现

SEAL安全

DevOps 云原生 敏捷开发 DevSecOps 企业号十月 PK 榜

机器学习服务文本识别能力演进,大幅提升识别准确率

HarmonyOS SDK

机器学习

React组件设计模式-纯组件,函数组件,高阶组件

xiaofeng

React

这次彻底读透 Redis

说故事的五公子

缓存 redis 底层原理

怎样徒手写一个React

helloworld1024fd

JavaScript

为什么普通用户也需要认识华为云CDN?

清欢科技

为什么企业们更偏好使用华为云CDN?

清欢科技

写过vue自定义指令吗,原理是什么?

bb_xiaxia1998

Vue

【一Go到底】第二十六天---数组入门

指剑

Go golang 10月月更

看完这份SpringBoot神级文档,面试真的可以为所欲为

程序知音

Java spring JAVA开发 springboot 后端技术

龙蜥对Intel下一代芯片SPR的支持及Anolis 23 产品规划介绍 | 第 50 期

OpenAnolis小助手

开源 直播 intel 龙蜥大讲堂 月会

研究人员指出最近Java频出安全漏洞问题_Java_Tim Cull_InfoQ精选文章