写点什么

Oracle 发布 Java 7 安全修复

  • 2013-01-17
  • 本文字数:910 字

    阅读完需:约 3 分钟

近日,Oracle 发布了 Java SE 7u11 以修复安全漏洞 CVE-2013-0422 ,该漏洞在过去几天内得到了广泛的使用,可以在允许运行 Java 的浏览器上远程安装与执行代码。这利用了 applet(通常没必要配置就可以在浏览器中运行 Java),并且可以通过 Java 7 运行时的特性与反射来跳出安全沙箱。

虽然这是今年遇到的第一个与安全相关的修复,但 Java 7 此前就曾因安全漏洞成为了人们瞩目的焦点。在去年10 月 CVE-2012-5083 CVE-2012-1531 都会导致不受信任的代码在 2D 框架中运行。反馈的结果同样是使用了反射 API。

但 0day 漏洞在诸如 Metasploit 与 Blackhole 的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求禁用掉浏览器中的Java ,即便你更新到了Java7u11 也要这样,从而避免未来可能会出现的安全问题。因此,Oracle 的反应速度很快,虽然他们此前曾表示只会按照季度来发布安全更新

Apple 是首批远程禁用掉浏览器中 Java 的公司之一,他向 OSX 反恶意软件描述文件中发布了一个更新,位于 /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许 Java applet 能够运行在浏览器中:

复制代码
<dict>
<key>LastModification</key>
<string>Thu, 10 Jan 2013 22:48:02 GMT</string>
<key>PlugInBlacklist</key>
<dict><key>10</key><dict>
<key>com.oracle.java.JavaAppletPlugin</key>
<dict><key>MinimumPlugInBundleVersion</key>
<string>1.7.10.19</string></dict>
</dict>
</dict>
</dict>

为了防止未来的漏洞,Java 更新还将未签名的 Java applet 的运行仅限制在“高”安全上下文中。如果启用了 Java applet 插件,那么当发现了未签名的 applet 时就会弹出一个警告对话框。

要想知道浏览器是否可以运行 Java,请进入到 JavaTester 网站。要想在浏览器中禁用 Java applet,请按照 Oracle 的文档 How to disable Java in the browser 进行。运行在浏览器之外的 Java 应用并不受此次安全问题的影响,因为这种 Java 应用的运行无需安全管理器。

查看英文原文: Oracle Releases Security Fix for Java 7

2013-01-17 00:451154
用户头像

发布了 88 篇内容, 共 266.1 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

40道Promise输出题,你都会了吗?🔥

CoderBin

面试 前端 JavaScrip 10月月更

分布式定时任务设计及其框架

穿过生命散发芬芳

10月月更 分布式定时任务

2022 年适用于 Linux 和 Windows 的五款最佳 Python 代码编辑器

wljslmz

Python ide 编辑器 10月月更

大数据ELK(十八):Beats 简单介绍和FileBeat工作原理

Lansonli

10月月更 大数据ELK

AI大模型的白垩纪

脑极体

Spring Boot「01」构建 REST API

Samson

Java Spring Boot Web 学习笔记 10月月更

Python进阶(五)浅谈python匿名函数及编写无参数decorator

No Silver Bullet

Python 10月月更 匿名函数 无参数decorator

C++ | 关于extern关键字的使用

YOLO.

qt 10月月更 C++

【Java深入学习】join再理解

Geek_65222d

10月月更

Python应用之基础结构:链表- 删除排序链表中的重复元素

芯动大师

10月月更 链表结构 基本元素

业务流程巡检拨测常用的开源工具

阿泽🧸

10月月更 业务流程

【算法作业】实验四:逆波兰表达式求值 & Fibonacci数列的尾递归与非递归程序

清风莫追

数据结构 算法 10月月更

10项任务助你落地架构课程!

华仔

架构实战营

LinkedList源码分析(二)

知识浅谈

linkedlist 10月月更

Java的跨平台和环境搭建

共饮一杯无

jdk java基础 10月月更 java环境搭建

【算法作业】实验二:给立方体排序的小明&&同时整除的数

清风莫追

数据结构 算法 10月月更

Python应用之基础结构:二叉树 前序遍历

芯动大师

二叉树 遍历 10月月更

【C语言内功修炼】动态内存管理的奥秘

Albert Edison

C语言 malloc 动态内存 10月月更 free

数据结构线性表链表

IC00

c 链表 数据结构算法 10月月更 链表结构

【Java深入学习】可见性

Geek_65222d

10月月更

hashmap常见面试题

普罗米修斯

10月月更

2022-10-08:以下go语言代码输出什么?A、0 0;B、0 4;C:4 0;D:4 4。 package main const s = “Go101.org“ // len(s) == 9

福大大架构师每日一题

golang 福大大 选择题

斐波那契数

掘金安东尼

算法 10月月更

【算法作业】实验三:划分集合-贪心 & 可能的IP地址-回溯

清风莫追

数据结构 算法 10月月更

Node.js TLSSocket 库里涉及到的证书链的概念简介

汪子熙

JavaScript node.js 后端开发 SAP 10月月更

Vue常用修饰符大全

CoderBin

面试 Vue 前端 10月月更

Photoshop软件应用项目(二)

张立梵

设计师 ps 10月月更

IDEA的Docker插件实战(Dockerfile篇)

程序员欣宸

Docker IDEA 10月月更

Python进阶(七)浅谈python3和Python2的区别

No Silver Bullet

Python3 区别 10月月更 Python2

MFC|CCombobox控件修改编辑框光标显示位置

中国好公民st

c c++ 10月月更

Qt | 实现自定义手机号输入框控件

YOLO.

qt 10月月更 C++

Oracle发布Java 7安全修复_Java_Alex Blewitt_InfoQ精选文章