安全观察 甲骨文发布Java 7 Update 11修复关键错误

甲骨文发布Java 7 Update 11修复关键错误

视频: É или È? Как правильно ставить диакритические знаки над E во французском. Accent aigu и accent grave (十一月 2024)

视频: É или È? Как правильно ставить диакритические знаки над E во французском. Accent aigu и accent grave (十一月 2024)
Anonim

甲骨文发布了一个紧急更新程序,以修复一个严重的Java安全漏洞,攻击者已利用该漏洞闯入用户计算机。

该带外补丁解决了Oracle Java 7中最近发现的关键漏洞,Oracle在1月13日发布的安全公告中表示,攻击者将通过诱使用户访问运行恶意Applet的网站来利用最新漏洞。 建议用户立即更新到Java 7 Update 11。

Java 7 Update 11缓解了CVE-2013-0422(最新漏洞)以及CVE-2012-3174的漏洞,CVE-2012-3174是一个较早的远程代码执行错误,可追溯到去年6月。 这两个漏洞的通用漏洞评分系统评分均为10,即该级别上的最高评分。 在此补丁程序中,Oracle解决了该缺陷,并更改了Java与Web应用程序的交互方式。

甲骨文在通报中说:“ Java Applet和Web Start应用程序的默认安全级别已从“中”提高到“高”。

这意味着在未签名的Java applet或Web Start应用程序可以运行之前,将始终提示用户。 以前,Java小程序和应用程序是在用户安装了最新版本的Java后自动运行的。 甲骨文表示,如果设置为“高”,将始终在运行任何未签名的应用程序之前警告用户,以使攻击者无法发起静默攻击。

带外补丁

Oracle的紧急补丁很罕见。 该公司通常每季度更新一次Java修补程序,但可能会发布此带外修补程序,因为利用此漏洞的攻击代码已被添加到包括“ Blackhole”和“ NuclearPack”在内的几种流行的攻击工具包中。 犯罪软件套件使犯罪分子更容易用恶意软件感染计算机,并为自己的邪恶目的接管计算机。 研究人员已经发现运行该代码的网站,尽管目前尚不知道有多少用户已经受到攻击。

在研究人员发现类似的远程执行缺陷之后,甲骨文先前于去年秋天发布了带外补丁。

影响Web浏览器而非桌面中的Java

重要的是要记住,此更新中修复的两个远程执行代码漏洞“仅适用于Web浏览器中的Java,因为它们可以通过恶意浏览器小程序利用,” Oracle软件安全保证总监Eric Maurice在Oracle软件安全保证博客上写道。 如果您不定期访问运行Java的网站,那么值得在浏览器中禁用Java插件。 这是有关如何从SecurityWatch的Neil Rubenking禁用Java的分步说明。

许多桌面应用程序和流行游戏(Minecraft,有人吗?)都使用Java,但是本地Java客户端并未受到攻击。

“这些漏洞不会影响服务器,Java桌面应用程序或嵌入式Java上的Java,” Maurice写道。

甲骨文发布Java 7 Update 11修复关键错误