AI实践哪家强?来 AICon, 解锁技术前沿,探寻产业新机! 了解详情
写点什么

Oracle 发布 Java 7 安全修复

  • 2013-01-17
  • 本文字数:910 字

    阅读完需:约 3 分钟

近日,Oracle 发布了 Java SE 7u11 以修复安全漏洞 CVE-2013-0422 ,该漏洞在过去几天内得到了广泛的使用,可以在允许运行 Java 的浏览器上远程安装与执行代码。这利用了 applet(通常没必要配置就可以在浏览器中运行 Java),并且可以通过 Java 7 运行时的特性与反射来跳出安全沙箱。

虽然这是今年遇到的第一个与安全相关的修复,但 Java 7 此前就曾因安全漏洞成为了人们瞩目的焦点。在去年10 月 CVE-2012-5083 CVE-2012-1531 都会导致不受信任的代码在 2D 框架中运行。反馈的结果同样是使用了反射 API。

但 0day 漏洞在诸如 Metasploit 与 Blackhole 的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求禁用掉浏览器中的Java ,即便你更新到了Java7u11 也要这样,从而避免未来可能会出现的安全问题。因此,Oracle 的反应速度很快,虽然他们此前曾表示只会按照季度来发布安全更新

Apple 是首批远程禁用掉浏览器中 Java 的公司之一,他向 OSX 反恶意软件描述文件中发布了一个更新,位于 /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许 Java applet 能够运行在浏览器中:

复制代码
<dict>
<key>LastModification</key>
<string>Thu, 10 Jan 2013 22:48:02 GMT</string>
<key>PlugInBlacklist</key>
<dict><key>10</key><dict>
<key>com.oracle.java.JavaAppletPlugin</key>
<dict><key>MinimumPlugInBundleVersion</key>
<string>1.7.10.19</string></dict>
</dict>
</dict>
</dict>

为了防止未来的漏洞,Java 更新还将未签名的 Java applet 的运行仅限制在“高”安全上下文中。如果启用了 Java applet 插件,那么当发现了未签名的 applet 时就会弹出一个警告对话框。

要想知道浏览器是否可以运行 Java,请进入到 JavaTester 网站。要想在浏览器中禁用 Java applet,请按照 Oracle 的文档 How to disable Java in the browser 进行。运行在浏览器之外的 Java 应用并不受此次安全问题的影响,因为这种 Java 应用的运行无需安全管理器。

查看英文原文: Oracle Releases Security Fix for Java 7

2013-01-17 00:451195
用户头像

发布了 88 篇内容, 共 269.2 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

低/零代码会让程序员失业吗?

代码制造者

程序员 低代码 零代码 信息化 编程开发

你看脸吗?

shengjk1

随笔杂谈

Kafka和RocketMQ底层存储之那些你不知道的事

yes

kafka RocketMQ 零拷贝 Mmap

DSN 主流项目调研 2——Sia和SAFE Network

AIbot

区块链 分布式存储 分布式文件存储 Sia SAFENetwork

流量明星翻车的“直播卖房”,为什么众盟做成了?

脑极体

别让非理性思维毁了你的人生

看山

随笔杂谈 非理性 认知偏差 自控术

奋斗在一线大城市的年轻人的生活工作实录(工厂蓝领篇)

Learun

程序员 软件开发 故事 企业信息化 短片小说

易观CTO郭炜:如何构建企业级大数据Ad-hoc查询引擎

易观大数据

一文搞懂Flink rocksdb中的数据恢复

shengjk1

大数据 flink源码

手抖了

shengjk1

随笔杂谈

你可能不知道的iPython使用技巧

wangkx

Python

SpringBoot系列(三):SpringBoot特性_SpringApplication类(自定义Banner)

xcbeyond

Java 微服务 springboot Banner

JAVA位运算

彭阿三

Java 位运算

浅析Python中的列表和元组

wangkx

Python python升级

《深度工作》学习笔记(完)

石云升

读书笔记 时间管理 专注 深度工作

害怕

shengjk1

随笔杂谈

美丑平等

shengjk1

随笔杂谈

解析中美数字货币竞争战略 | 构建属于“人类命运共同体”的货币体系

CECBC

数字货币 人民币

网站域名备案怎么做?有哪些快速备案的方法?

姜奋斗

网站 备案 网站搭建 域名解析 网站平台

普通工程师简史

郭华

Django查看操作数据库的执行命令

BigYoung

数据库 django 操作

Cobra 命令自动补全指北

郭旭东

cobra Go 语言

LeetCode题解:88. 合并两个有序数组,for循环合并数组+sort排序,JavaScript,详细注释

Lee Chen

大前端 LeetCode

SpringBoot系列(二):如何灵活使用SpringBoot

xcbeyond

Java 微服务 springboot

DSN 主流项目调研 3——Orbit数据库的故事

AIbot

区块链 分布式存储 IPFS 分布式文件 Orbit

我国开启“逆袭战”,区块链的盛夏来了?

CECBC

云计算 区块链技术

流媒体云时代的声与色,融云铺就的桥与路

脑极体

熬得住,人生路

shengjk1

随笔杂谈

数据平台、大数据平台、数据中台……你确定能分得清吗?

华为云开发者联盟

大数据 数据中台 开发者 数据湖 数据

每个大火的“线上狼人杀”平台,都离不开这个新功能

ZEGO即构

游戏 RTC 社交

关于微服务架构的一些思考

俊俊哥

微服务

Oracle发布Java 7安全修复_Java_Alex Blewitt_InfoQ精选文章