写点什么

研究人员指出最近 Java 频出安全漏洞问题

  • 2010-11-07
  • 本文字数:1050 字

    阅读完需:约 3 分钟

上周,微软研究员 Holly Stewart 在其博客上指出最近 Java 频出安全漏洞问题,已经超越了Adobe Reader 成为黑客首选的攻击目标。Stewart 先生说到,大多数已知的Java 安全漏洞都有对应的修复。特别是3 个长久以来一直存在的问题,分别是与Oracle JVM 相关的 Calendar 反序列化长文件URL 以及 RMI 连接问题,他们一直是黑客们攻击的主要目标。

安全研究员 Brian Krebs 在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击,因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件,黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后,这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台,会告诉买家是否已经成功获得对用户计算机的访问权。Krebs 先生的博客上将这些攻击包的控制台做了截屏,以此表明Java 是深受黑客青睐的攻击目标。

所有这3 个Java 安全漏洞都已在今年3 月得到了修复,其中一个甚至在去年4 月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl 检测出超过10% 的用户还在使用着Java 1.4 或1.5,而Oracle 从去年开始就已经不再支持这两个Java 版本了。即便使用Java 1.6,超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常,消费者并不知晓他们在使用着Java,更不用说使用的版本以及如何升级了。在企业中,桌面电脑通常需要使用旧版本的Java 以支持没有升级的内部应用或是厂商应用。比如说,根据Oracle 所述,如果Java 1.6 升级到了update 22,那么“CVE-2010-3560 修复就会导致运行在新的Java 插件下的某些Java applet 停止工作,因为如果网页包含了JavaScript,而它需要调用Java 以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle 产品在每次Java 小版本发布时都可能会出现问题,因此IT 经理们要时刻保持警惕。与之类似,还在使用Java 1.5 的遗留应用可能会成为受害者,因为Oracle 从去年11 月开始就不再支持Java 1.5 了,只对Java for Business 用户提供补丁程序。

本周,Oracle 为JDK 1.6 发布了 update 22,它修复了 29 个安全问题,其中有些问题影响很大。由于 JVM 支持沙箱,因此 Java 开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上,JVM 实现本身仍然可以直接访问内存,并且可以使用非沙箱语言(如 C 语言)来实现。

查看英文原文: Researchers Highlight Recent Uptick in Java Security Exploits

2010-11-07 03:181961
用户头像

发布了 88 篇内容, 共 266.7 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

事件分发源码,Android事件分发机制收藏这一篇就够了,威力加强版

欢喜学安卓

android 程序员 面试 移动开发

事件分发机制Android,熬夜整理Android面试笔试题,精心整理

欢喜学安卓

android 程序员 面试 移动开发

分布式锁之Redis实现

Sakura

4月日更

python 内置数据结构list、set、dict、tuple(三)

若尘

List 数据结构 set 元组 Python编程

nginx 搭建简单图片服务器实现负载均衡

Java小咖秀

nginx 服务器 图片

20 图 |6 千字|缓存实战(上篇)

悟空聊架构

redis 缓存 缓存穿透 缓存击穿 缓存雪崩

微服务的演化

箭上有毒

4月日更

谈谈中台架构之交易中台

艾小仙

想要做网页游戏怎么办 ?PixiJs 篇(二)

空城机

JavaScript 大前端 游戏 4月日更 pixi

没想到【成功的计算机视觉应用】居然是这样部署的!

澳鹏Appen

人工智能 自动驾驶 机器学习 大数据 计算机视觉

实践案例丨Pt-osc工具连接rds for mysql 数据库失败

华为云开发者联盟

MySQL 数据库 pt-osc工具 rds for mysql

三步法助你快速定位网站性能问题

华为云开发者联盟

html 网站 网站优化 Performance面板 瀑布图

5个超好用的Instagram图片下载工具推荐

科技猫

分享 下载 教程 图片 Instagram

yarn 集群的架构和工作原理

五分钟学大数据

hadoop YARN 4月日更

飞桨分布式训练又推新品,4D混合并行可训千亿级AI模型

百度大脑

百度 AI 飞桨

手把手教你从数据预处理开始体验图数据库

NebulaGraph

数据库 数据预处理

亮相 LiveVideoStackCon,透析阿里云窄带高清的现在与未来

阿里云CloudImagine

视频编解码 视频处理

百度大脑开放日福州站-智能制造与安全生产专场报名啦

百度大脑

百度大脑 开放日

Android实现文档在线预览功能

寻找生命中的美好

android pdf预览 文档预览

Flink + Hudi 在 Linkflow 构建实时数据湖的生产实践

Apache Flink

flink

2021年IT行业八大趋势预测

禅道项目管理

自动化 数字化 技术债 行业趋势

「 社区建设功勋奖名单公布」—— InfoQ 写作平台【 1 周年盛典 】

InfoQ写作社区官方

1 周年盛典 热门活动

网易有道 ASR 团队斩获 Interspeech 2021 算法竞赛两项冠军

有道技术团队

AI 算法竞赛

Kubernetes入门——Kubernetes应用部署

百度开发者中心

Kubernetes #技术课程#

纳尼?就凭这拿到了阿里巴巴50K的开发岗offer?

Java架构师迁哥

Ansible 简单使用

耳东@Erdong

4月日更

硬核,阿里自爆4月份Java题库答案(技术+人事),Github获赞76K

Java架构师迁哥

尴尬!看完阿里P7大佬自爆的Java面试复盘笔记,才知道自己才是井底之蛙

Java架构师迁哥

anyHouse - Android 仿写 ClubHouse

anyRTC开发者

android 音视频 WebRTC RTC 语音社交

云管平台如何纳管多云资源?

嘉为蓝鲸

云计算 运维自动化 cmp 混合云 多云管理平台

还在写大量 if 来判断?试试用一个规则执行器来替代它

xcbeyond

4月日更

研究人员指出最近Java频出安全漏洞问题_Java_Tim Cull_InfoQ精选文章