研究人员指出最近Java频出安全漏洞问题

上周，微软研究员Holly Stewart在其博客上指出最近Java频出安全漏洞问题，已经超越了Adobe Reader成为黑客首选的攻击目标。Stewart先生说到，大多数已知的Java安全漏洞都有对应的修复。特别是3个长久以来一直存在的问题，分别是与Oracle JVM相关的Calendar反序列化、长文件URL以及RMI连接问题，他们一直是黑客们攻击的主要目标。

安全研究员Brian Krebs在其博客上说到这 些长久以来一直存在的漏洞会引起大规模的攻击，因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件，黑客们会向犯罪分子兜售这些 攻击包。接下来当用户访问了被感染的站点后，这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台，会告诉买家是否已经成功获得 对用户计算机的访问权。Krebs先生的博客上将这些攻击包的控制台做了截屏，以此表明Java是深受黑客青睐的攻击目标。

所有这3个Java安全漏洞都已在今年3月得到了修复，其中一个甚至在去年4月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl检测出超过10%的用户还在使用着Java 1.4或1.5，而Oracle从去年开始就已经不再支持这两个Java版本了。即便使用Java 1.6，=1.6]超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常，消费者并不知晓他们在使用着Java，更不用说使用的版本以及如何升级了。在企业中，桌面电脑通常需要使 用旧版本的Java以支持没有升级的内部应用或是厂商应用。比如说，根据Oracle所述，如果Java 1.6升级到了update 22，那么“CVE-2010-3560修复就会导致运行在新的Java插件下的某些Java applet停止工作，因为如果网页包含了JavaScript，而它需要调用Java以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle产品在每次Java小版本发布时都可能会出现问题，因此IT经理们要时刻保持警惕。与之类似，还在使用Java 1.5的遗留应用可能会成为受害者，因为Oracle从去年11月开始就不再支持Java 1.5了，只对Java for Business用户提供补丁程序。

本周，Oracle为JDK 1.6发布了update 22，它修复了29个安全问题，其中有些问题影响很大。由于JVM支持沙箱，因此Java开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上，JVM实现本身仍然可以直接访问内存，并且可以使用非沙箱语言（如C语言）来实现。

原文链接：Researchers Highlight Recent Uptick in Java Security Exploits

译文链接：http://www.infoq.com/cn/news/2010/11/java-exploit-uptick