Java漏洞大规模出现?Java火热背后的无奈!{广州传智播客中}
2013-03-19 15:51
204 查看
就在Java披露两项安全漏洞的仅仅一周之后,一家波兰安全企业再次发布报告,称在Java最新版本中另外发现五项漏洞。在旧有漏洞的影响之下,攻击者能够利用新问题绕过Java的沙箱机制并安装恶意软件。
Security Explorations公司于三月四日通知甲骨文,称其Java SE 7 Update 15中存在大量安全漏洞。除了关于漏洞的细节信息之外,Security Explorations还提供了相关概念的验证代码。
甲骨文目前还没有对此事发表评论。
该公司称此次发现的几项漏洞本身并不会引发安全问题;然而当与之前曝出的其它隐患结合之后,它们就可能成为攻击者的跳板、借以绕过Java所采用的反恶意沙箱技术。Security Explorations公司宣称目前还没有发现外界攻击者使用这些漏洞的迹象。
此次最新漏洞报告与该公司上一次公布的安全声明仅相隔一周,这两次隐患报告指向的目标皆为甲骨文针对Java应用在浏览器环境中的运行所推出的最新插件。
甲骨文公司于今年二月正式发布Java SE 7 Update 15,并于同月十九号紧急推出捆绑式补丁更新,旨在迅速修复当时曝出的五项安全漏洞。根据计划,下一次定期更新将于四月十六号进行。
今年二月二十五号甲骨文驳回了Security Explorations公司所提交的一项bug,后者旋即开展了最新一轮安全测试。“对方要求我们重新审查Java SE 7的代码及其说明文档,并进一步收集论据材料,”Security Explorations公司首席执行长Adam Gowdiak在SecLists.org的一篇博文中表示。
此次提交的漏洞中有两项可能还会波及Java SE 6,Gowdiak指出。“但由于各项漏洞只有在同时存在时才会真正给Java SE带来安全问题,所以我们只将其列为Java SE 7的待处理隐患。”
在本月发布Java SE 7更新之时,甲骨文宣称考虑到零日漏洞在过去一段时间内被大规模利用所造成的严重负面影响,公司将缩短Java的补丁发布周期。目前仍有一项零日漏洞未得到这家软件供应商的修复。
“甲骨文公司的目的在于进一步加快Java修复补丁的发布速度,特别是帮助桌面浏览器中的Java Runtime Environment迅速恢复安全价值,”甲骨文公司软件保障部门主管Eric Maurice在一篇博文中如是说。
甲骨文过去一直以四个月为周期提供Java更新。而在新规划的指引下,安全更新周期将被缩短为两个月。
几个月以来,很多安全专家都在建议用户禁用浏览器中的Java插件,因为这类程序平台目前只存在于少数网站当中。如果万不得已必须要运行Java以迎合特定应用时,专家建议大家利用单独一款浏览器专门处理这类任务。
过去我们常说微软漏洞多是因为人用得多,而最近Java漏洞大规模的出现也从侧面说明Java的火爆,得力于安卓的火爆,将来使用Java会越来越多。
广州.net培训、广州java培训、期待与您交流!
详情请查看看:http://gz.itcast.cn
Security Explorations公司于三月四日通知甲骨文,称其Java SE 7 Update 15中存在大量安全漏洞。除了关于漏洞的细节信息之外,Security Explorations还提供了相关概念的验证代码。
甲骨文目前还没有对此事发表评论。
该公司称此次发现的几项漏洞本身并不会引发安全问题;然而当与之前曝出的其它隐患结合之后,它们就可能成为攻击者的跳板、借以绕过Java所采用的反恶意沙箱技术。Security Explorations公司宣称目前还没有发现外界攻击者使用这些漏洞的迹象。
此次最新漏洞报告与该公司上一次公布的安全声明仅相隔一周,这两次隐患报告指向的目标皆为甲骨文针对Java应用在浏览器环境中的运行所推出的最新插件。
甲骨文公司于今年二月正式发布Java SE 7 Update 15,并于同月十九号紧急推出捆绑式补丁更新,旨在迅速修复当时曝出的五项安全漏洞。根据计划,下一次定期更新将于四月十六号进行。
今年二月二十五号甲骨文驳回了Security Explorations公司所提交的一项bug,后者旋即开展了最新一轮安全测试。“对方要求我们重新审查Java SE 7的代码及其说明文档,并进一步收集论据材料,”Security Explorations公司首席执行长Adam Gowdiak在SecLists.org的一篇博文中表示。
此次提交的漏洞中有两项可能还会波及Java SE 6,Gowdiak指出。“但由于各项漏洞只有在同时存在时才会真正给Java SE带来安全问题,所以我们只将其列为Java SE 7的待处理隐患。”
在本月发布Java SE 7更新之时,甲骨文宣称考虑到零日漏洞在过去一段时间内被大规模利用所造成的严重负面影响,公司将缩短Java的补丁发布周期。目前仍有一项零日漏洞未得到这家软件供应商的修复。
“甲骨文公司的目的在于进一步加快Java修复补丁的发布速度,特别是帮助桌面浏览器中的Java Runtime Environment迅速恢复安全价值,”甲骨文公司软件保障部门主管Eric Maurice在一篇博文中如是说。
甲骨文过去一直以四个月为周期提供Java更新。而在新规划的指引下,安全更新周期将被缩短为两个月。
几个月以来,很多安全专家都在建议用户禁用浏览器中的Java插件,因为这类程序平台目前只存在于少数网站当中。如果万不得已必须要运行Java以迎合特定应用时,专家建议大家利用单独一款浏览器专门处理这类任务。
过去我们常说微软漏洞多是因为人用得多,而最近Java漏洞大规模的出现也从侧面说明Java的火爆,得力于安卓的火爆,将来使用Java会越来越多。
广州.net培训、广州java培训、期待与您交流!
详情请查看看:http://gz.itcast.cn
相关文章推荐
- 广州传智播客0608Java基础班广州笑翻天拓展活动
- 广州传智播客Java软件培训机构更能出人才
- 2014辞岁迎新—广州传智播客Java培训教学研讨会
- 广州传智播客 JAVA就业前景
- 友谊·骑车之旅—广州传智播客1210Java基础班及1218.Net基础班联谊活动
- Java漏洞被利用进行大规模攻击
- 越南程序员了不得!中学生一半能通过谷歌面试{广州传智播客中}
- 广州传智播客最给力的Java培训课程
- 广州传智播客Java总监汤老师做出了总结
- 广州传智播客0615JAVA就业班体育活动
- 广州传智播客0615JAVA就业班开班
- 1128java就业班班级活动——动物园观光{广州传智播客}
- 广州传智播客Java培训模式一直被模仿从未被超越
- 来广州传智播客学Java是的不二之选
- 广州传智播客——如果选择Java培训学校?广州传智播客
- .成都JAVA培训,传智播客5月18日JAVA基础班火热开班
- 来广州传智播客学最成熟的Java课程
- 广州传智播客0615JAVA就业班体育活动
- 广州Java培训,广州IT培训,传智播客
- 广州Java培训,广州IT培训,传智播客