写点什么

Oracle 发布 Java 7 安全修复

  • 2013-01-17
  • 本文字数:910 字

    阅读完需:约 3 分钟

近日,Oracle 发布了 Java SE 7u11 以修复安全漏洞 CVE-2013-0422 ,该漏洞在过去几天内得到了广泛的使用,可以在允许运行 Java 的浏览器上远程安装与执行代码。这利用了 applet(通常没必要配置就可以在浏览器中运行 Java),并且可以通过 Java 7 运行时的特性与反射来跳出安全沙箱。

虽然这是今年遇到的第一个与安全相关的修复,但 Java 7 此前就曾因安全漏洞成为了人们瞩目的焦点。在去年10 月 CVE-2012-5083 CVE-2012-1531 都会导致不受信任的代码在 2D 框架中运行。反馈的结果同样是使用了反射 API。

但 0day 漏洞在诸如 Metasploit 与 Blackhole 的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求禁用掉浏览器中的Java ,即便你更新到了Java7u11 也要这样,从而避免未来可能会出现的安全问题。因此,Oracle 的反应速度很快,虽然他们此前曾表示只会按照季度来发布安全更新

Apple 是首批远程禁用掉浏览器中 Java 的公司之一,他向 OSX 反恶意软件描述文件中发布了一个更新,位于 /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许 Java applet 能够运行在浏览器中:

复制代码
<dict>
<key>LastModification</key>
<string>Thu, 10 Jan 2013 22:48:02 GMT</string>
<key>PlugInBlacklist</key>
<dict><key>10</key><dict>
<key>com.oracle.java.JavaAppletPlugin</key>
<dict><key>MinimumPlugInBundleVersion</key>
<string>1.7.10.19</string></dict>
</dict>
</dict>
</dict>

为了防止未来的漏洞,Java 更新还将未签名的 Java applet 的运行仅限制在“高”安全上下文中。如果启用了 Java applet 插件,那么当发现了未签名的 applet 时就会弹出一个警告对话框。

要想知道浏览器是否可以运行 Java,请进入到 JavaTester 网站。要想在浏览器中禁用 Java applet,请按照 Oracle 的文档 How to disable Java in the browser 进行。运行在浏览器之外的 Java 应用并不受此次安全问题的影响,因为这种 Java 应用的运行无需安全管理器。

查看英文原文: Oracle Releases Security Fix for Java 7

2013-01-17 00:451130
用户头像

发布了 88 篇内容, 共 263.9 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

网络攻防学习笔记 Day107

穿过生命散发芬芳

网络安全 8月日更

手势事件采集究竟有多难?

神策技术社区

ios 手势

学习笔记: JPA与Hibernate

yhrivory

数据库 hibernate jpa ORM spring data

漏洞挖掘的快乐你想象不到

网络安全学海

黑客 网络安全 信息安全 渗透测试 漏洞挖掘

云原生-工作流引擎Zeebe

QiLab

云原生 k8s cncf BPM zeebe

架构实战营 - 模块五作业

李东旭

「架构实战营」

数据上报方式是否存在最优解?

神策技术社区

编程 数据

一群人的战斗

神策技术社区

编程 代码

智能时代的信任口诀:让计算远离算计

脑极体

你知道关闭页面时怎么向后台发送消息吗?

编程三昧

JavaScript 大前端 8月日更

JAVA对于文件IO操作的支持

卢卡多多

Java 文件 io 8月日更

Linux云计算-使用 MyCat 实现 MySQL 主从读写分离

学神来啦

MySQL 数据库 Linux 运维

从小白程序员到大厂高级技术专家我看过哪些书籍?

冰河

学习 程序员 面试 程序人生

模块5作业

Geek_35a345

前端之算法(六)分而治之

Augus

算法 8月日更

Elasticsearch 日志监控方案

Se7en

超级人脉:让巴菲特老爷子告诉你圈子的重要性

非著名程序员

人脉 认知提升 思维 8月日更

你的登录接口真的安全吗?快看看你有没有中招!

xcbeyond

安全性 8月日更

Java 操作 Office:POI word之网络图片处理

程序员架构进阶

Java Apache POI 实战问题 8月日更

运用上游思维的七个思路

石云升

读书笔记 8月日更 上游思维

【音视频】弱网下实时视频的极限通信

声网

音视频 视频处理 视频压缩

vue入门:简单指令介绍

小鲍侃java

8月日更

DAPP智能合约搭建|DAPP波场智能合约开发

量化系统19942438797

智能合约 dapp

QDS07 Mysql 安装指定版本

耳东@Erdong

MySQL 8月日更 qds

OLAP 简介

LeifChen

OLAP 多维分析 8月日更

事事请示是不靠谱的表现

boshi

团队管理

极光开发者周刊【No.0813】

极光JIGUANG

前端基础一之HTML篇

ベ布小禅

8月日更

MySQL 字段NOT NULL

一个大红包

8月日更

Oracle发布Java 7安全修复_Java_Alex Blewitt_InfoQ精选文章