最近,Java6的最新更新中修复了17个安全漏洞和一个非安全相关的问题,引起了很大的关注,很多读者对此也很感兴趣。现在,我将列出关于17个安全漏洞的最新消息,以及Java6最新更新中修复的一个非安全相关问题。
作为计划更新的一部分,甲骨文修复了Java中至少17个安全漏洞。
该公司表示,在6月8日发布的最新Java 6更新中,Oracle修复了17个安全漏洞和一个非安全相关的问题。这17个漏洞将允许攻击者在没有身份验证的情况下在受影响的系统上远程执行代码。
在Windows电脑上,主账号为管理员账号的漏洞中,有9个漏洞的风险为10/10,这意味着理论上攻击者可以控制电脑。除了一个漏洞之外,所有漏洞都会影响在网络浏览器中运行的Java运行时环境插件。
在甲骨文网站的一份声明中,它说:“由于成功攻击的威胁,甲骨文强烈建议客户尽快应用这些补丁。”
Java、Internet Explorer和Adobe Reader是最容易受到攻击的三个程序。安全专家表示,如果用户不定期更新这些程序,他们将面临受到威胁的严重风险。
Sophos的高级安全顾问Chester Wisniewski在下体安全博客上写道:“在利用Java漏洞利用Windows计算机的攻击者中,我们已经看到了巨大的成功,并且还进行了更广泛的实验来构建可以在Mac和Linux上运行的恶意软件。”去年基于Mac的Koobface就是恶意软件开发人员如何使用Java为非Windows计算机创建跨平台恶意软件的一个例子。
6 Java Update 26(V 1.6.0.26)可通过Java updater或网站java.com获得,可用于Windows、Linux和Solaris操作系统。此更新将解决本地安装的程序和浏览器插件中的问题。
Mac用户将不得不等待苹果来修复这个问题,因为Oracle目前没有为OS X提供Java,苹果在3月份Oracle修复错误一个月后,在Leopard和Snow Leopard中修补了Java。今年10月,苹果表示,从Mac OS X Lion 10.7版本开始,Java将不再是操作系统的一部分,而是通过Oracle网站进行安装和打补丁。
Java已经安装在全球超过8.5亿台PC上,这使得它成为网元的主要目标。根据赛门铁克4月发布的年度互联网安全威胁报告,2010年影响浏览器插件的漏洞中,Java占了17%。Java恶意软件通常依赖修补的漏洞,因为旧版本的软件很常见。虽然Java已经被广泛安装,但今天并没有多少用户在他们的计算机上积极使用Java。
F-Secure的Mikko Hypponen去年5月在推特上发现了一个恶意链接,是Java小程序提供的。它说:“你的浏览器真的需要Java吗?真的吗?如果没有,请处理掉。”有效载荷。
但是,这并不意味着用户应该立即继续并卸载Java运行时环境。流行的开源办公生产力套件OpenOffice.org需要Java才能正常运行,并且有许多VMware产品依赖于Java。
很多银行网站和照片分享网站仍然使用Java,要求用户安装Java插件。一些网站仍然依赖Java小程序进行数据可视化。一般很多公司还是在内部使用Java进行定制解决方案,所以用户应该继续更新软件,而不是完全删除。
Wisniewski建议使用没有Java插件的测试系统来确定是否需要安装软件。Wisniewski说,最小化插入浏览器的软件数量“减少了通过互联网传播的攻击的攻击面。”Wisniewski补充说,“如果需要Java,请确保部署这个更新。”