BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Oracle发布了51个Java安全补丁

| 作者 Dan Woods 关注 1 他的粉丝 ,译者 马德奎 关注 0 他的粉丝 发布于 2013年10月29日. 估计阅读时间: 2 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

上周,Oracle发布了一项重要补丁更新,包含127个针对Oracle产品生态系统——包括Java SE和其它产品——的新安全补丁。其中有51个重要安全补丁是针对Java的,它们对Java客户端和服务器端的部署均有影响。

在Java的51个安全补丁中包含了50个漏洞的补丁。在这50个无需身份验证即可远程利用的漏洞中,有10个在常见漏洞评分系统中基本分得分为10.0,这是该评分系统定义的衡量漏洞风险的最高分值。这一特定的漏洞子集会为“完全接管目标系统(乃至操作系统)”提供便利,使攻击者具备在被攻破的主机上以特权身份运行代码的能力。

其中有许多漏洞直接影响Java的客户端运行时环境,包括Java浏览器插件。在访问使用了嵌入式应用程序的网站时,浏览器插件允许Java代码在客户端机器上运行。在此次更新的这批安全补丁中,有40个是针对通过Applet或者WebStart执行客户端代码的情况。但是,Oracle还是在发布说明中提醒用户,在CVSS评分为10.0的10个漏洞中,有8个同时适用于客户端和服务器端的部署。

Java内核架构定义了代码执行的四个不同的抽象层次,它们支撑着“一次编写,到处运行”这句流行语所描述的编程模式。最上层是“Java应用程序层”,应用程序代码在这一层编写。该层与“Java运行时”层相连,后者包含核心代码、应用程序安全协议以及编程语言库。运行时层则依次与“‘本地层(Native Layer)’”相连,后者负责抽象“最底层(The Base Layer)”(操作系统)的执行过程。此次更新处理的高分漏洞具备以“本地层”为目标的能力,通过它们可以绕过位于运行时层的安全措施。通过夺取运行Java进程的用户或服务的特权,那些利用了本地层漏洞的攻击能够利用操作系统执行代码。

在今年早些时候,Oracle宣布,从十月份开始,Java SE的安全补丁和更新将随Oracle整个产品生态系统的重要补丁更新一起推出。所谓的“CPUs”每季度发布一次,使Java每年有四次机会进行安全补丁版本更新。Oracle宣称,他们会保留通过安全警报程序发布紧急安全补丁的能力。本月的重要补丁更新使得Java在2013年第八次更新

查看英文原文:Oracle Releases 51 Security Fixes for Java

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT