写点什么

Oracle 发布 Java 7 安全修复

  • 2013-01-17
  • 本文字数:910 字

    阅读完需:约 3 分钟

近日,Oracle 发布了 Java SE 7u11 以修复安全漏洞 CVE-2013-0422 ,该漏洞在过去几天内得到了广泛的使用,可以在允许运行 Java 的浏览器上远程安装与执行代码。这利用了 applet(通常没必要配置就可以在浏览器中运行 Java),并且可以通过 Java 7 运行时的特性与反射来跳出安全沙箱。

虽然这是今年遇到的第一个与安全相关的修复,但 Java 7 此前就曾因安全漏洞成为了人们瞩目的焦点。在去年10 月 CVE-2012-5083 CVE-2012-1531 都会导致不受信任的代码在 2D 框架中运行。反馈的结果同样是使用了反射 API。

但 0day 漏洞在诸如 Metasploit 与 Blackhole 的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求禁用掉浏览器中的Java ,即便你更新到了Java7u11 也要这样,从而避免未来可能会出现的安全问题。因此,Oracle 的反应速度很快,虽然他们此前曾表示只会按照季度来发布安全更新

Apple 是首批远程禁用掉浏览器中 Java 的公司之一,他向 OSX 反恶意软件描述文件中发布了一个更新,位于 /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许 Java applet 能够运行在浏览器中:

复制代码
<dict>
<key>LastModification</key>
<string>Thu, 10 Jan 2013 22:48:02 GMT</string>
<key>PlugInBlacklist</key>
<dict><key>10</key><dict>
<key>com.oracle.java.JavaAppletPlugin</key>
<dict><key>MinimumPlugInBundleVersion</key>
<string>1.7.10.19</string></dict>
</dict>
</dict>
</dict>

为了防止未来的漏洞,Java 更新还将未签名的 Java applet 的运行仅限制在“高”安全上下文中。如果启用了 Java applet 插件,那么当发现了未签名的 applet 时就会弹出一个警告对话框。

要想知道浏览器是否可以运行 Java,请进入到 JavaTester 网站。要想在浏览器中禁用 Java applet,请按照 Oracle 的文档 How to disable Java in the browser 进行。运行在浏览器之外的 Java 应用并不受此次安全问题的影响,因为这种 Java 应用的运行无需安全管理器。

查看英文原文: Oracle Releases Security Fix for Java 7

2013-01-17 00:451193
用户头像

发布了 88 篇内容, 共 269.0 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

YashanDB数据库的迁移技巧与挑战

数据库砖家

YashanDB数据库的水平扩展能力与实现方法

数据库砖家

YashanDB数据库的网络配置与优化方法

数据库砖家

YashanDB数据库的重要特性及其商业价值

数据库砖家

YashanDB数据库的资源分配与优化策略分析

数据库砖家

巅峰对决,超三十万奖金等你挑战!

默语

YashanDB数据库的自动化管理与监控算法介绍

数据库砖家

YashanDB数据库的资源管理与效率提升

数据库砖家

YashanDB数据库负载均衡配置及优化方法

数据库砖家

YashanDB数据库的用户体验:简化数据操作的工具

数据库砖家

YashanDB数据库的源代码分析:深入理解其架构

数据库砖家

YashanDB数据库监控和诊断工具全解析

数据库砖家

YashanDB数据库设计中的数据一致性保障机制

数据库砖家

可视化建站工具

微擎应用市场

YashanDB数据库的维护成本与效益分析

数据库砖家

YashanDB数据库跨数据中心同步方案研究

数据库砖家

YashanDB数据库索引设计技巧与性能提升方案

数据库砖家

聚势增长!Unity 确认参展 2025 ChinaJoy BTOB

极客天地

本地汽车洗护服务平台

微擎应用市场

鸿蒙Next仓颉开发语言中的数据类型总结分享

幽蓝计划

harmoyos

YashanDB数据库的用户权限管理及安全配置

数据库砖家

YashanDB数据库的用户体验与界面设计指南

数据库砖家

MyEMS开源能源管理系统核心代码解读004

开源能源管理系统

开源 代码 能源管理 worker函数

YashanDB数据库的视频监控数据存储方案

数据库砖家

YashanDB数据库的索引策略,如何提升查询速度?

数据库砖家

YashanDB数据库的用户界面及体验优化

数据库砖家

YashanDB数据库的治理与合规性分析

数据库砖家

YashanDB数据库跨数据中心容灾方案实施手册

数据库砖家

YashanDB数据库的维度建模与数据仓库设计

数据库砖家

YashanDB数据库的行业应用及潜在市场价值

数据库砖家

YashanDB数据库结合大数据分析提升企业竞争力

数据库砖家

Oracle发布Java 7安全修复_Java_Alex Blewitt_InfoQ精选文章