A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

cclihzqc

初级黑马

  • 黑马币:

  • 帖子:

  • 精华:

© cclihzqc 初级黑马   /  2013-3-11 10:45  /  1130 人查看  /  1 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

就在Java披露两项安全漏洞的仅仅一周之后,一家波兰安全企业再次发布报告,称在Java最新版本中另外发现五项漏洞。在旧有漏洞的影响之下,攻击者能够利用新问题绕过Java的沙箱机制并安装恶意软件。

Security Explorations公司于本周一通知甲骨文,称其Java SE 7 Update 15中存在大量安全漏洞。除了关于漏洞的细节信息之外,Security Explorations还提供了相关概念的验证代码。

甲骨文目前还没有对此事发表评论。

该公司称此次发现的几项漏洞本身并不会引发安全问题;然而当与之前曝出的其它隐患结合之后,它们就可能成为攻击者的跳板、借以绕过Java所采用的反恶意沙箱技术。Security Explorations公司宣称目前还没有发现外界攻击者使用这些漏洞的迹象。

此次最新漏洞报告与该公司上一次公布的安全声明仅相隔一周,这两次隐患报告指向的目标皆为甲骨文针对Java应用在浏览器环境中的运行所推出的最新插件。

甲骨文公司于今年二月正式发布Java SE 7 Update 15,并于同月十九号紧急推出捆绑式补丁更新,旨在迅速修复当时曝出的五项安全漏洞。根据计划,下一次定期更新将于四月十六号进行。

今年二月二十五号甲骨文驳回了Security Explorations公司所提交的一项bug,后者旋即开展了最新一轮安全测试。“对方要求我们重新审查Java SE 7的代码及其说明文档,并进一步收集论据材料,”Security Explorations公司首席执行长Adam Gowdiak在SecLists.org的一篇博文中表示。

此次提交的漏洞中有两项可能还会波及Java SE 6,Gowdiak指出。“但由于各项漏洞只有在同时存在时才会真正给Java SE带来安全问题,所以我们只将其列为Java SE 7的待处理隐患。”

在本月发布Java SE 7更新之时,甲骨文宣称考虑到零日漏洞在过去一段时间内被大规模利用所造成的严重负面影响,公司将缩短Java的补丁发布周期。目前仍有一项零日漏洞未得到这家软件供应商的修复。

“甲骨文公司的目的在于进一步加快Java修复补丁的发布速度,特别是帮助桌面浏览器中的Java Runtime Environment迅速恢复安全价值,”甲骨文公司软件保障部门主管Eric Maurice在一篇博文中如是说。

甲骨文过去一直以四个月为周期提供Java更新。而在新规划的指引下,安全更新周期将被缩短为两个月。

几个月以来,很多安全专家都在建议用户禁用浏览器中的Java插件,因为这类程序平台目前只存在于少数网站当中。如果万不得已必须要运行Java以迎合特定应用时,专家建议大家利用单独一款浏览器专门处理这类任务。


评分

参与人数 1技术分 +1 收起 理由
滔哥 + 1 分享奖励

查看全部评分

1 个回复

倒序浏览
路过。。
回复 使用道具 举报
您需要登录后才可以回帖 登录 | 加入黑马