写点什么

Oracle 发布 Java 7 安全修复

  • 2013-01-17
  • 本文字数:910 字

    阅读完需:约 3 分钟

近日,Oracle 发布了 Java SE 7u11 以修复安全漏洞 CVE-2013-0422 ,该漏洞在过去几天内得到了广泛的使用,可以在允许运行 Java 的浏览器上远程安装与执行代码。这利用了 applet(通常没必要配置就可以在浏览器中运行 Java),并且可以通过 Java 7 运行时的特性与反射来跳出安全沙箱。

虽然这是今年遇到的第一个与安全相关的修复,但 Java 7 此前就曾因安全漏洞成为了人们瞩目的焦点。在去年10 月 CVE-2012-5083 CVE-2012-1531 都会导致不受信任的代码在 2D 框架中运行。反馈的结果同样是使用了反射 API。

但 0day 漏洞在诸如 Metasploit 与 Blackhole 的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求禁用掉浏览器中的Java ,即便你更新到了Java7u11 也要这样,从而避免未来可能会出现的安全问题。因此,Oracle 的反应速度很快,虽然他们此前曾表示只会按照季度来发布安全更新

Apple 是首批远程禁用掉浏览器中 Java 的公司之一,他向 OSX 反恶意软件描述文件中发布了一个更新,位于 /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许 Java applet 能够运行在浏览器中:

复制代码
<dict>
<key>LastModification</key>
<string>Thu, 10 Jan 2013 22:48:02 GMT</string>
<key>PlugInBlacklist</key>
<dict><key>10</key><dict>
<key>com.oracle.java.JavaAppletPlugin</key>
<dict><key>MinimumPlugInBundleVersion</key>
<string>1.7.10.19</string></dict>
</dict>
</dict>
</dict>

为了防止未来的漏洞,Java 更新还将未签名的 Java applet 的运行仅限制在“高”安全上下文中。如果启用了 Java applet 插件,那么当发现了未签名的 applet 时就会弹出一个警告对话框。

要想知道浏览器是否可以运行 Java,请进入到 JavaTester 网站。要想在浏览器中禁用 Java applet,请按照 Oracle 的文档 How to disable Java in the browser 进行。运行在浏览器之外的 Java 应用并不受此次安全问题的影响,因为这种 Java 应用的运行无需安全管理器。

查看英文原文: Oracle Releases Security Fix for Java 7

2013-01-17 00:451100
用户头像

发布了 88 篇内容, 共 262.0 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

Nginx配置中root和alias分不清?本文3分钟帮你解惑!

wljslmz

nginx 服务器 root 11月月更 alias

软件测试面试真题 | 讲讲 OSI 七层模型,每层模型具体干嘛的?

测试人

盘点具备盈利潜力的几大加密板块,以及潜在的投资机会

BlockChain先知

AI为方,产业为向:京东云数字人的技术攀爬

脑极体

人工智能’

跟着卷卷龙一起学Camera--Rolling Shutter

卷卷龙

ISP camera 11月月更

跟着卷卷龙一起学Camera--MIPI 01

卷卷龙

ISP camera 11月月更

Java | IO流介绍

陌上

Java 编程 11月月更

TOGAF企业架构框架5-企业连续统一体

Marvin Ma

TOGAF 企业架构框架 架构分区 企业连续统一体 架构存储库

EDAS 流量入口网关最佳实践

阿里巴巴云原生

阿里云 分布式 云原生 网关

Spring Boot「21」JPA 中的 Entity

Samson

Java hibernate Spring Boot 学习笔记 11月月更

安全左中右·2022 XDR 网络安全运营新理念峰会圆满落幕

未来智安XDR SEC

网络安全 XDR扩展威胁检测响应

Spark SQL基本架构

穿过生命散发芬芳

spark SQL 11月月更

防守体系建设三部曲

阿泽🧸

11月月更 防守体系

跟着卷卷龙一起学Camera--延迟04

卷卷龙

ISP camera 11月月更

物联网数据分析(上篇)——业务系统架构类

阿里云AIoT

阿里云 数据分析 物联网 业务架构 数据存储

真正的高效能RPC框架Focus

dinstone

json RPC 高性能 protobuf 跨语言

融云钜惠来袭,新客尝鲜首月 2.7 折起,超值套餐 6 折起

融云 RongCloud

产品

MongoDB源码学习:mongod如何处理请求

云里有只猫

mongodb 源码学习

python小知识-set妙用

AIWeker

Python 人工智能 python小知识 11月月更

iofod 支持生成 Electron 桌面应用

iofod jude

前端 低代码平台 iofod

Baklib经验分享 | 一些搭建帮助中心的攻略

Baklib

帮助中心

基于 Grafana LGTM 可观测性平台的快速构建

Grafana 爱好者

可观测性 Observability

鱼骨图还能做需求优先级分析?

产品海豚湾

产品经理 产品设计 产品开发 需求分析 11月月更

研发效能|DevOps 已死平台工程永存带来的焦虑

laofo

DevOps 研发效能 持续交付 工程效率 平台工程

数据的分组与计算

芯动大师

Python pandas 11月月更

2022-11-01:给定一个只由小写字母和数字字符组成的字符串str。 要求子串必须只含有一个小写字母,数字字符数量随意。 求这样的子串最大长度是多少?

福大大架构师每日一题

算法 rust 福大大

以开发之名|线上家装新美学——梦想之家,由你来定

HarmonyOS SDK

AR HMS Core

SAP UI5 和 Angular 的函数防抖(Debounce)和函数节流(Throttle)实现原理介绍

汪子熙

前端开发 angular Fiori ui5 11月月更

官宣 | 袋鼠云获过亿元 C + 轮融资,深耕国产自研数字化技术与服务

袋鼠云数栈

Baklib知识分享|企业知识管理难,该如何解决?

Baklib

SAP UI5 BarcodeScannerButton 的初始化逻辑 - feature 检测,Cordova API 检测等逻辑

汪子熙

前端开发 Fiori SAP UI5 ui5 11月月更

Oracle发布Java 7安全修复_Java_Alex Blewitt_InfoQ精选文章