研究人员指出最近 Java 频出安全漏洞问题

上周，微软研究员 Holly Stewart 在其博客上指出最近 Java 频出安全漏洞问题，已经超越了Adobe Reader 成为黑客首选的攻击目标。Stewart 先生说到，大多数已知的Java 安全漏洞都有对应的修复。特别是3 个长久以来一直存在的问题，分别是与Oracle JVM 相关的 Calendar 反序列化、长文件URL 以及 RMI 连接问题，他们一直是黑客们攻击的主要目标。

安全研究员 Brian Krebs 在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击，因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件，黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后，这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台，会告诉买家是否已经成功获得对用户计算机的访问权。Krebs 先生的博客上将这些攻击包的控制台做了截屏，以此表明Java 是深受黑客青睐的攻击目标。

所有这3 个Java 安全漏洞都已在今年3 月得到了修复，其中一个甚至在去年4 月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl 检测出超过10% 的用户还在使用着Java 1.4 或1.5，而Oracle 从去年开始就已经不再支持这两个Java 版本了。即便使用Java 1.6，超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常，消费者并不知晓他们在使用着Java，更不用说使用的版本以及如何升级了。在企业中，桌面电脑通常需要使用旧版本的Java 以支持没有升级的内部应用或是厂商应用。比如说，根据Oracle 所述，如果Java 1.6 升级到了update 22，那么“CVE-2010-3560 修复就会导致运行在新的Java 插件下的某些Java applet 停止工作，因为如果网页包含了JavaScript，而它需要调用Java 以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle 产品在每次Java 小版本发布时都可能会出现问题，因此IT 经理们要时刻保持警惕。与之类似，还在使用Java 1.5 的遗留应用可能会成为受害者，因为Oracle 从去年11 月开始就不再支持Java 1.5 了，只对Java for Business 用户提供补丁程序。

本周，Oracle 为JDK 1.6 发布了 update 22，它修复了 29 个安全问题，其中有些问题影响很大。由于 JVM 支持沙箱，因此 Java 开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上，JVM 实现本身仍然可以直接访问内存，并且可以使用非沙箱语言（如 C 语言）来实现。

查看英文原文： Researchers Highlight Recent Uptick in Java Security Exploits