视频: Михаил Дударев — Опасные типы, или Java Security Model на практике (十一月 2024)
早在6月,我们就向您介绍了Oracle如何保证更好地使用Java并更频繁地更新平台。 这是一系列令人尴尬的事件的顶点,其中一再使用Java攻击用户。 本周,甲骨文发布了针对Java的一系列新更新中的第一个,他们希望这些更新将使30亿台运行其产品的设备更加安全。 这可能是正确的,但更新的规模之大令人震惊,影响同样深远。
更快地修补
以前,Java每年进行3次更新,但是从本周开始,它将与Oracle的其他产品一起按季度更新,作为其重要补丁更新或CPU的一部分(我看到您在Oracle那里做了什么)。
总体而言,此更新包括127个安全修复程序。 在这些漏洞中,有51个是针对Java的(这是最恐怖的部分),用Oracle的话来说,其中50个漏洞可能“无需身份验证就可以远程利用”。
但是,哦,情况变好了。 在Qualys博客上,CTO Wolfgang Kandek写道:“ CVSSv2得分最高的12个漏洞为10,表明这些漏洞可用于完全控制网络上受攻击的计算机,而无需进行身份验证。” 他继续指出,大多数更新都会影响笔记本电脑和台式机用户(例如,您现在就阅读此内容),但是有两个与服务器安装相关的非常重要的更新。
是时候更新了!
大多数用户可能会自动收到更新,但是可以肯定的是,Oracle提供了一个有用的页面来测试您正在运行的版本。 如果检测到过时的安装,它将提示您下载并安装更新。 请注意,截至本周的最新版本是Java 7更新45。
我要花点时间提醒用户手动更新Java时要非常小心,因为它会试图说服您安装Ask.com工具栏并将默认搜索引擎更改为Ask。
太少了?
看到Oracle加强其安全性游戏是件好事,但并非所有人都对Oracle的举动感到满意。 Sophos高级安全顾问Chester Wisniewski在其公司的博客中写道,这感觉太少了,太迟了。 “如果您的声誉太差,并且使超过十亿用户暴露于缺陷中,那么您需要更快地做出响应。”
Wisniewski继续暗示甲骨文的工作重点没有对准,并大胆地攻击了拉里·埃里森(Larry Ellison)的甲骨文(Oracle)品牌的船,该船最近赢得了美洲杯。 Wisniewski写道:“将奖品放在您大厅的架子上,出售一千万美元的船,并雇用工程师用多余的资金将Java补丁周期更新到每月一次。” “超过3亿台设备将感谢您。”
更新Java安装是保护自己免受基于Java攻击的最佳方法,基于Java的攻击已植入许多漏洞利用工具包中,并且攻击者经常使用该工具。 当然,您总是可以拔掉插头并完全禁用Java。
