BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Oracle和苹果遭受Java安全问题困扰

| 作者 Charles Humble 关注 797 他的粉丝 ,译者 陆巍 关注 0 他的粉丝 发布于 2012年9月18日. 估计阅读时间: 4 分钟 | GMTC大前端的下一站,PWA、Web框架、Node等最新最热的大前端话题邀你一起共同探讨。

Java最近处在风口浪尖上,这是最近发生的Java安全问题CVE-2012-4681所带来的杂乱状况的影响。问题还包括相关的一系列针对Java浏览器插件攻击的漏洞CVE-2012-1682CVE-2012-3136CVE-2012-0547。这些安全问题已经成为大家关注的焦点,特别是当相关攻击代码被加入到Blackhole这一臭名昭著的黑客攻击工具之后,情况变得更加严重。这一工具通过不断尝试大量可利用的漏洞集来尝试攻击目标机器。这4个漏洞会影响Oracle Java SE7第六次升级补丁及之前版本。其中漏洞0547 也影响到Java 6 第34次升级补丁及之前版本。

波兰的安全创业公司Security Explorations 早在四月份就向Oracle和苹果非公开披露了这一缺陷。就在这些漏洞刚刚获得媒体的高度关注以后不久,Oracle在8月30日发布了新的安全补丁(Java 7第七次升级补丁),但是现在看来,正是Oracle发布的这一安全补丁自身引入了漏洞。“我可以确信Oracle在8月30日发布的Java7第七次升级补丁包含了安全漏洞。这些漏洞可以被攻击者利用以绕开Java的安全沙箱。”在和InfoQ的邮件沟通中,Security Explorations的创始人和CEO Adam Gowdiak谈到,“这其中包括了在这一补丁发布之后所发现的缺陷,同时在8月31日,这些漏洞已经报告给了Oracle。”

不同于早先的安全漏洞,在实际环境中并没有发现针对这些缺陷的攻击,但是Security Explorations的状态页面显示,利用报告中包含的概念验证代码,收到报告的公司已经验证了可以利用漏洞进行攻击。

Oracle现在开始和其他平台一样为OS X提供Java SE 7,而苹果仍旧为自己的操作系统维护Java 6。苹果在9月5日星期三发布了针对 0547漏洞的Java升级补丁。用于OS X 2012-005的Java用于Mac OS X 10.6的Java更新10 已经将网页浏览器设置为不自动运行Java 应用程序(Applet),另外,当一段时间内没有应用程序(Applet)运行时,Java网页插件将被停用。

苹果正由于发布Java升级补丁比Orcale所支持的平台滞后数月而受到批评。Flashback这一臭名昭著的木马已经展现出这一做法的危险性。这一木马所利用的漏洞在二月已经被Oracle修复,但直到四月份才在OS X修复,这导致670,000 台OS X的机器被感染成为僵尸网络机器(strain botnet)。在这之后,苹果公司开始更快地响应,在六月份,他们第一次与Oracle同步发布了升级补丁。

4681漏洞也存在于 IBM的Java运行时。9月11日漏洞的安全警告和概念验证代码已经报告给了厂商。

由于这一问题并不会影响Java单机桌面应用和服务器上运行的Java,Java 7的用户被建议在浏览器中禁用Java插件,仅当必须使用Java时再开启,或者使用其他的浏览器。美国计算机应急小组(US-CERT)提供了进一步的建议和说明,他们同时建议如果可能,应当将Java整体卸载。

查看英文原文:Oracle and Apple Struggle to Deal with Java Security Issues


感谢侯伯薇对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

标题打错了吧? by chen license

Orcale->Oracle,是有意为之么?感谢侯伯薇对本文的审校

Re: 标题打错了吧? by 贾 国清

让兄台取笑了,已修正了拼写,感谢指正:)

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

2 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT