AICon上海|与字节、阿里、腾讯等企业共同探索Agent 时代的落地应用 了解详情
写点什么

Oracle 发布 Java 7 安全修复

  • 2013-01-17
  • 本文字数:910 字

    阅读完需:约 3 分钟

近日,Oracle 发布了 Java SE 7u11 以修复安全漏洞 CVE-2013-0422 ,该漏洞在过去几天内得到了广泛的使用,可以在允许运行 Java 的浏览器上远程安装与执行代码。这利用了 applet(通常没必要配置就可以在浏览器中运行 Java),并且可以通过 Java 7 运行时的特性与反射来跳出安全沙箱。

虽然这是今年遇到的第一个与安全相关的修复,但 Java 7 此前就曾因安全漏洞成为了人们瞩目的焦点。在去年10 月 CVE-2012-5083 CVE-2012-1531 都会导致不受信任的代码在 2D 框架中运行。反馈的结果同样是使用了反射 API。

但 0day 漏洞在诸如 Metasploit 与 Blackhole 的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求禁用掉浏览器中的Java ,即便你更新到了Java7u11 也要这样,从而避免未来可能会出现的安全问题。因此,Oracle 的反应速度很快,虽然他们此前曾表示只会按照季度来发布安全更新

Apple 是首批远程禁用掉浏览器中 Java 的公司之一,他向 OSX 反恶意软件描述文件中发布了一个更新,位于 /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许 Java applet 能够运行在浏览器中:

复制代码
<dict>
<key>LastModification</key>
<string>Thu, 10 Jan 2013 22:48:02 GMT</string>
<key>PlugInBlacklist</key>
<dict><key>10</key><dict>
<key>com.oracle.java.JavaAppletPlugin</key>
<dict><key>MinimumPlugInBundleVersion</key>
<string>1.7.10.19</string></dict>
</dict>
</dict>
</dict>

为了防止未来的漏洞,Java 更新还将未签名的 Java applet 的运行仅限制在“高”安全上下文中。如果启用了 Java applet 插件,那么当发现了未签名的 applet 时就会弹出一个警告对话框。

要想知道浏览器是否可以运行 Java,请进入到 JavaTester 网站。要想在浏览器中禁用 Java applet,请按照 Oracle 的文档 How to disable Java in the browser 进行。运行在浏览器之外的 Java 应用并不受此次安全问题的影响,因为这种 Java 应用的运行无需安全管理器。

查看英文原文: Oracle Releases Security Fix for Java 7

2013-01-17 00:451160
用户头像

发布了 88 篇内容, 共 266.6 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

早起实操手册

超超不会飞

效率 生活 自律

1分钟理解M2M和IoT概念

老任物联网杂谈

物联网 M2M IoT

从草根到百万年薪C/C++程序员的二十年风雨之路

C语言技术网-码农有道

c++ 编程语言 C语言

DataGrip常用快捷键

fliter

IT培训机构那些不得不说的事儿

C语言技术网-码农有道

IT培训机构

断章取义,不一样的C/C++语言的学习策略

C语言技术网-码农有道

C/C++

我们迫切需要块状时间

Neco.W

效率 时间分配 时间管理 工作效率 提升效率

生活不奖赏心血来潮

池建强

个人成长 写作

Python 中怎样合并数据

张利东

Python

职场发展的思考

子不语

生涯规划 职业规划

死磕Java并发编程(8):CurrentHashMap如何实现高效地线程安全?在Java8中有哪些设计实现的演进?

Seven七哥

Java Java并发 ConcurrentHashMap

SpringIOC源码篇-Bean实例化-Spring如何选择类构造器(1)

申屠鹏会

Java Spring Boot

NIO 看破也说破(二)—— Java 中的两种BIO

小眼睛聊技术

Java 学习 程序员 架构 编程语言

Netty 源码解析(六): Channel 的 register 操作

猿灯塔

Centos的初步配置

玉龙BB

Docker Linux Docker-compose Centos 7

如何消除写作过程中的痛苦,让写作变成一种享受

董一凡

写作

原创 | 使用JUnit、AssertJ和Mockito编写单元测试和实践TDD (一)什么是单元测试

编程道与术

Linux初学-01

Flychen

终端Terminal:程序员是如何查询天气预报的?

lmymirror

GitHub 工具 命令行 terminal 终端工具

企业招聘的需求决定了C/C++程序员的学习方向

C语言技术网-码农有道

C/C++

中年危机,我们如何面对?

石云升

产品周刊 | 第 13 期(20200503)

八味阁

产品 设计 产品经理 产品设计

零基础、非计算机相关专业的如何转型程序员

C语言技术网-码农有道

程序员 转型

LeetCode 565: Array Nesting

隔壁小王

算法

面试考试可用,十大排序算法

我不自豪谁志豪

学习 面试 算法

聊聊我对开源的理解

zygfengyuwuzu

开源

原创 | 类应该是匀称和均匀的

编程道与术

从2009到2020,世界编程语言排行榜分析

C语言技术网-码农有道

编程语言

部署Hexo博客到VPS

ini

新人怎么寻求解决问题的方法

波波

编程 职场 新人

LeetCode 153. Find Minimum in Rotated Sorted Array

隔壁小王

算法

Oracle发布Java 7安全修复_Java_Alex Blewitt_InfoQ精选文章