Java最新版本再次曝出五项新漏洞。SecurityExplorations公司于本周一通知甲骨文(甲骨文),称其JavaSE7Update15中存在大量安全漏洞。甲骨文目前还没有对此事发表评论。此次最新漏洞报告与该公司上一次公布的安全声明仅相隔一周,这两次隐患报告指向的目标皆为甲骨文针对Java应用在浏览器环境中的运行所推出的最新插件。甲骨文公司于今年二月正式发布JavaSE7Update15,并于同月十九号紧急推出捆绑式补丁更新,旨在迅速修复当时曝出的五项安全漏洞。今年二月二十五号甲骨文驳回了SecurityExplorations公司所提交的一项bug,后者旋即开展了最新一轮安全测试。“但由于各项漏洞只有在同时存在时才会真正给JavaSE带来安全问题,所以我们只将其列为JavaSE7的待处理隐患” 在本月发布JavaSE7更新之时,甲骨文宣称考虑到零日漏洞在过去一段时间内被大规模利用所造成的严重负面影响,公司将缩短Java的补丁发布周期。(dkcctuiblog)

关键字:Java漏洞补丁最新版本SE就在Java披露两项安全漏洞的仅仅一周之后,一家波兰安全企业再次发布报告,称在Java最新版本中另外发现五项漏洞。在旧有漏洞的影响之下,攻击者能够利用新问题绕过Java的沙箱机制并安装恶意软件。SecurityExplorations公司于本周一通知甲骨文(甲骨文),称其JavaSE7Update15中存在大量安全漏洞。除了关于漏洞的细节信息之外,SecurityExplorations还提供了相关概念的验证代码。

甲骨文目前还没有对此事发表评论。该公司称此次发现的几项漏洞本身并不会引发安全问题;然而当与之前曝出的其它隐患结合之后,它们就可能成为攻击者的跳板、借以绕过Java所采用的反恶意沙箱技术。SecurityExplorations公司宣称目前还没有发现外界攻击者使用这些漏洞的迹象。

此次最新漏洞报告与该公司上一次公布的安全声明仅相隔一周,这两次隐患报告指向的目标皆为甲骨文针对Java应用在浏览器环境中的运行所推出的最新插件。甲骨文公司于今年二月正式发布JavaSE7Update15,并于同月十九号紧急推出捆绑式补丁更新,旨在迅速修复当时曝出的五项安全漏洞。根据计划,下一次定期更新将于四月十六号进行。

今年二月二十五号甲骨文驳回了SecurityExplorations公司所提交的一项bug,后者旋即开展了最新一轮安全测试。“对方要求我们重新审查JavaSE7的代码及其说明文档,并进一步收集论据材料,”SecurityExplorations公司首席执行长AdamGowdiak在的一篇博文中表示。此次提交的漏洞中有两项可能还会波及JavaSE6,Gowdiak指出。

“但由于各项漏洞只有在同时存在时才会真正给JavaSE带来安全问题,所以我们只将其列为JavaSE7的待处理隐患” 在本月发布JavaSE7更新之时,甲骨文宣称考虑到零日漏洞在过去一段时间内被大规模利用所造成的严重负面影响,公司将缩短Java的补丁发布周期。目前仍有一项零日漏洞未得到这家软件供应商的修复。“甲骨文公司的目的在于进一步加快Java修复补丁的发布速度,特别是帮助桌面浏览器中的JavaRuntime(time)Environment迅速恢复安全价值,”甲骨文公司软件保障部门主管EricMaurice在一篇博文中如是说。

甲骨文过去一直以四个月为周期提供Java更新。而在新规划的指引下,安全更新周期将被缩短为两个月。几个月以来,很多安全专家都在建议用户禁用浏览器中的Java插件,因为这类程序平台目前只存在于少数网站当中。

如果万不得已必须要运行Java以迎合特定应用时,专家建议大家利用单独一款浏览器专门处理这类任务。

相关的主题文章:
09-18 19:14