Oracle 发布了 51 个 Java 安全补丁

上周，Oracle发布了一项重要补丁更新，包含127 个针对Oracle 产品生态系统——包括Java SE 和其它产品——的新安全补丁。其中有51 个重要安全补丁是针对Java 的，它们对Java 客户端和服务器端的部署均有影响。

在Java 的51 个安全补丁中包含了50 个漏洞的补丁。在这50 个无需身份验证即可远程利用的漏洞中，有10 个在常见漏洞评分系统中基本分得分为10.0，这是该评分系统定义的衡量漏洞风险的最高分值。这一特定的漏洞子集会为“完全接管目标系统（乃至操作系统）”提供便利，使攻击者具备在被攻破的主机上以特权身份运行代码的能力。

其中有许多漏洞直接影响Java 的客户端运行时环境，包括Java 浏览器插件。在访问使用了嵌入式应用程序的网站时，浏览器插件允许Java 代码在客户端机器上运行。在此次更新的这批安全补丁中，有40 个是针对通过Applet 或者 WebStart 执行客户端代码的情况。但是，Oracle 还是在发布说明中提醒用户，在 CVSS 评分为 10.0 的 10 个漏洞中，有 8 个同时适用于客户端和服务器端的部署。

Java 内核架构定义了代码执行的四个不同的抽象层次，它们支撑着“一次编写，到处运行”这句流行语所描述的编程模式。最上层是“Java 应用程序层”，应用程序代码在这一层编写。该层与“Java 运行时”层相连，后者包含核心代码、应用程序安全协议以及编程语言库。运行时层则依次与“‘本地层（Native Layer）’”相连，后者负责抽象“最底层（The Base Layer）”（操作系统）的执行过程。此次更新处理的高分漏洞具备以“本地层”为目标的能力，通过它们可以绕过位于运行时层的安全措施。通过夺取运行 Java 进程的用户或服务的特权，那些利用了本地层漏洞的攻击能够利用操作系统执行代码。

在今年早些时候，Oracle宣布，从十月份开始，Java SE 的安全补丁和更新将随Oracle 整个产品生态系统的重要补丁更新一起推出。所谓的“CPUs”每季度发布一次，使Java 每年有四次机会进行安全补丁版本更新。Oracle 宣称，他们会保留通过安全警报程序发布紧急安全补丁的能力。本月的重要补丁更新使得 Java 在 2013 年第八次更新。

查看英文原文： Oracle Releases 51 Security Fixes for Java