QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

研究人员指出最近 Java 频出安全漏洞问题

  • 2010-11-07
  • 本文字数:1050 字

    阅读完需:约 3 分钟

上周,微软研究员 Holly Stewart 在其博客上指出最近 Java 频出安全漏洞问题,已经超越了Adobe Reader 成为黑客首选的攻击目标。Stewart 先生说到,大多数已知的Java 安全漏洞都有对应的修复。特别是3 个长久以来一直存在的问题,分别是与Oracle JVM 相关的 Calendar 反序列化长文件URL 以及 RMI 连接问题,他们一直是黑客们攻击的主要目标。

安全研究员 Brian Krebs 在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击,因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件,黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后,这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台,会告诉买家是否已经成功获得对用户计算机的访问权。Krebs 先生的博客上将这些攻击包的控制台做了截屏,以此表明Java 是深受黑客青睐的攻击目标。

所有这3 个Java 安全漏洞都已在今年3 月得到了修复,其中一个甚至在去年4 月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl 检测出超过10% 的用户还在使用着Java 1.4 或1.5,而Oracle 从去年开始就已经不再支持这两个Java 版本了。即便使用Java 1.6,超过半数的电脑也没有打上相应的补丁。

电脑之所以没有升级是有很多原因的。通常,消费者并不知晓他们在使用着Java,更不用说使用的版本以及如何升级了。在企业中,桌面电脑通常需要使用旧版本的Java 以支持没有升级的内部应用或是厂商应用。比如说,根据Oracle 所述,如果Java 1.6 升级到了update 22,那么“CVE-2010-3560 修复就会导致运行在新的Java 插件下的某些Java applet 停止工作,因为如果网页包含了JavaScript,而它需要调用Java 以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle 产品在每次Java 小版本发布时都可能会出现问题,因此IT 经理们要时刻保持警惕。与之类似,还在使用Java 1.5 的遗留应用可能会成为受害者,因为Oracle 从去年11 月开始就不再支持Java 1.5 了,只对Java for Business 用户提供补丁程序。

本周,Oracle 为JDK 1.6 发布了 update 22,它修复了 29 个安全问题,其中有些问题影响很大。由于 JVM 支持沙箱,因此 Java 开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上,JVM 实现本身仍然可以直接访问内存,并且可以使用非沙箱语言(如 C 语言)来实现。

查看英文原文: Researchers Highlight Recent Uptick in Java Security Exploits

2010-11-07 03:181954
用户头像

发布了 88 篇内容, 共 266.0 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

Tomcat8.5源码构建

知春秋

tomcat tomcat构建 tomcat源码解读 tomcat剖析

Rust是如何保障内存安全的

博文视点Broadview

读书笔记 rust

JVM中栈的frames详解

程序那些事

JVM 堆栈 性能调优 JIT GC

工厂方法模式

Leetao

Python 设计模式 工厂方法模式

性能碾压 POI !利用模板语法快速生成 Excel 报表

葡萄城技术团队

表格控件 GCExcel 服务器端开发

Node.js与二进制数据流

自然醒

Java node.js 大前端 二进制

还在划水?这个SQL你能写出来吗?

书旅

php MySQL SQL语法 sql查询

带你解析MySQL binlog

Simon

MySQL Binlog

一些思考

张健

mac vmware centos7 设置静态IP

愤毛阿青

network vmware Centos 7

kubernetes集群安装(二进制)

小小文

Kubernetes 容器

推荐一款Python开源库,技术人必备的造数据神器!

狂师

Python 开源 自动化 开发工具 开发数据

Python中的@staticmethod和@classmethod的区别

BigYoung

Python classmethod staticmethod

开发者必备——IDEA配置清单

Noneplus

配置 IDEA

信创舆情一线--《关键信息基础设施安全保护条例》纳入2020年立法计划

统小信uos

信息安全

Linux 进程必知必会

苹果看辽宁体育

Linux 操作系统

关于计划的思考

zhongzhq

一文看懂 OAuth2

Geek_z9ygea

Java 大前端 Web oauth2.0

重学 Java 设计模式:实战访问者模式「模拟家长与校长,对学生和老师的不同视角信息的访问场景」

小傅哥

设计模式 小傅哥 重构 代码优化 访问者模式

​区块链技术的重要性

CECBC

猿灯塔:spring Boot Starter开发及源码刨析(二)

猿灯塔

Java 猿灯塔 源码刨析

漫画 | 架构设计中的那些事

码农神说

架构设计 架构师 漫画编程

图片处理不用愁,给你十个小帮手

阿宝哥

Java 开源 大前端 工具 图片

Java集合总结,从源码到并发一路狂飙

给你买橘子

Java 编程 算法 集合

浅析 VO、DTO、DO、PO 的概念、区别和用处!

Java小咖秀

学习 设计模式 模型 经验分享

字节跳动面试经验分享,已拿 Offer!

伍陆柒

Java 面试 大厂

Python类中的__new__和__init__的区别

BigYoung

Python __init__ __new__

SpringBoot入门:00 - 初始化项目

封不羁

Spring Boot java 14

30 张图带你分分钟看懂进程和线程基础知识全家桶

爱嘤嘤嘤斯坦

Java 线程 进程 进程线程区别

Redis进阶篇三——主从复制

多选参数

redis redis高可用 redis6.0.0 Redis项目

不是完成你学习的 KPI ,而是要形成指导你行动的 OKR

非著名程序员

学习 程序员 提升认知 知识管理

研究人员指出最近Java频出安全漏洞问题_Java_Tim Cull_InfoQ精选文章