阿熊
阿熊
元老
发贴: 5644
积分: 454
|
于 2012-09-04 22:38
上周Java平台爆出了严重的安全漏洞,甲骨文也紧急发布了Java 7u7和6u35两个修复版本。
但据发现Java 7漏洞的波兰安全公司Security Explorations的CEO Adam Gowdiak表示,他们只用两三个小时就在甲骨文发布的Java 7修补程序中找出了漏洞。该漏洞如同先前的0day攻击中被利用的漏洞一样,可以完全摆脱Java的沙箱保护机制,可能导致Java用户计算机遭黑客控制。
甲骨文先前预定在10月份发布定期更新,但上周破例发布紧急修补程序之后,没有提到下一次更新的信息。而甲骨文最近发布的更新程序甚至还没把Security Explorations公司在今年4月份时提出的29个漏洞修补完。
为避免黑客利用该漏洞,在甲骨文修补好漏洞之前,Security Explorations表示不会透露该漏洞的相关信息,但该公司仍建议使用者在甲骨文修补好漏洞之前卸载Java 7,或者在浏览器中禁用Java插件。
在用户反馈中,许多用户表示移除Java会影响到日常作业所使用的软件。
有部分专家建议用户返回到Java 6,理由是此波0day漏洞都只影响到Java 7,而更新的Java 6 update 35中已经没有安全问题。
Mac用户中,Leopard(10.5)或Snow Leopard(10.6)仅可使用Java 6,而Lion(10.7)与Mountain Lion(10.8)也可以参考甲骨文提供的方式转用Java 6。
Adam Gowdiak也对媒体表示,他们对Java 7如此容易被攻陷感到讶异,而对于Java 6,他们仅在Quicktime的功能中发现过能跳脱沙箱控制的漏洞。
|