BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

研究人员指出最近Java频出安全漏洞问题

| 作者 Tim Cull 关注 0 他的粉丝 ,译者 张龙 关注 14 他的粉丝 发布于 2010年11月8日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

上周,微软研究员Holly Stewart在其博客上指出最近Java频出安全漏洞问题,已经超越了Adobe Reader成为黑客首选的攻击目标。Stewart先生说到,大多数已知的Java安全漏洞都有对应的修复。特别是3个长久以来一直存在的问题,分别是与Oracle JVM相关的Calendar反序列化长文件URL以及RMI连接问题,他们一直是黑客们攻击的主要目标。

安全研究员Brian Krebs在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击,因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件,黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后,这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台,会告诉买家是否已经成功获得对用户计算机的访问权。Krebs先生的博客上将这些攻击包的控制台做了截屏,以此表明Java是深受黑客青睐的攻击目标。

所有这3个Java安全漏洞都已在今年3月得到了修复,其中一个甚至在去年4月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl检测出超过10%的用户还在使用着Java 1.4或1.5,而Oracle从去年开始就已经不再支持这两个Java版本了。即便使用Java 1.6,超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常,消费者并不知晓他们在使用着Java,更不用说使用的版本以及如何升级了。在企业中,桌面电脑通常需要使用旧版本的Java以支持没有升级的内部应用或是厂商应用。比如说,根据Oracle所述,如果Java 1.6升级到了update 22,那么“CVE-2010-3560修复就会导致运行在新的Java插件下的某些Java applet停止工作,因为如果网页包含了JavaScript,而它需要调用Java以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle产品在每次Java小版本发布时都可能会出现问题,因此IT经理们要时刻保持警惕。与之类似,还在使用Java 1.5的遗留应用可能会成为受害者,因为Oracle从去年11月开始就不再支持Java 1.5了,只对Java for Business用户提供补丁程序。

本周,Oracle为JDK 1.6发布了update 22,它修复了29个安全问题,其中有些问题影响很大。由于JVM支持沙箱,因此Java开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上,JVM实现本身仍然可以直接访问内存,并且可以使用非沙箱语言(如C语言)来实现。

查看英文原文:Researchers Highlight Recent Uptick in Java Security Exploits

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

Java by Liu Raining

自从Java到了Oracle就没发生过什么好事,Java已经太臃肿了,需要减肥

人心散了,队伍不好带了 by shi mike

现在连Java大佬都跑了,很多工作组都跑了很多人,自然质量就会下降,C++,Java之后,不知道是哪个语言的王朝啊

微软发布的。。。 by li xiaofeng

竞争对手肯定要揪着对方的弱点进行攻击了。

什么时候微软没问题了再来说别人吧。。。 by Han Meng

rt

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

4 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT