甲骨文紧急发布Java安全更新修正50个安全漏洞

前一段时间Java多次被爆出严重安全漏洞,浏览器开发商Mozilla为此禁用了Java插件,连美国国土安全部还建议卸载Java。上个月甲骨文公司(Oracle)爆出了一个巨大的java 漏洞,导致所有安装了java 引擎的系统包括号称安全的OS X 都有可能被网页上运行java 恶意代码感染引发安全问题造成隐私泄露。 在昨天终于甲骨文公司(Oracle)发布了新的版本,修复了 OS X 可能被感染病毒的风险。

此前,因上一版本 Java 出现重要安全漏洞,已被苹果快速反应,通过 OS X 系统的 Xprotect 安全机制远程禁用了所有 1.7.0_10-b18 版本以前的 Java。更新后Java已经可以在OS X平台运行。

这次全新发布的Java版本,包括Java 7 Update 13、Java 6 Update 39,以及JavaFX 2.2.5。(图片来源)

这次全新发布的Java版本,包括Java 7 Update 13、Java 6 Update 39,以及JavaFX 2.2.5(甲骨文表示其计划在本月底之后,全面停止Java 6更新程序的发布作业)。

根据甲骨文表示,全新Java软件旨在解决出现在以下版本Java软件中的安全漏洞(以及之前所列出的所有版本):Java 7 Update 11、Java 6 Update 38、Java 5 Update 38、SDK开发套件及Java Runtime Environment 1.4.2_40,以及JavaFX 2.2.4等。

在甲骨文每一版的通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)中,全新安全更新中50个漏洞修补里,竟有高达26个漏洞在CVSS等级表中被评为“10”(最严重级),这意味着恶意攻击者可以透过这些安全漏洞,完全劫持掌控目标电脑。

同时,其中有3个漏洞,会同时出现在Java用户端及服务器端;根据甲骨文表示,“并可透过不受信任的Java Web Start应用部署及不受信任的Java Applet,来发动漏洞攻击,抑或也可在不透过Java Web Start应用部署或不受信任之Java Applet的情况下,而直接将资料提供给位于特定元件中的API,像是透过Web Service来发动攻击。”

最新Java更新程序所锁定的安全漏洞,举凡IBM X-Force、iDefense、Information Security Partners(iSEC)、Red Hat、Security Explorations与TippingPoint皆早已针对这些漏洞向甲骨文通报。

根据波兰安全研究公司Security Explorations表示,甲骨文修补其所通报的4个安全漏洞,分别是该公司编号29、50、52及53的安全漏洞。其中编号53的安全漏洞,是该公司10天前不到才刚通报给甲骨文的漏洞。
===========================================
据悉1月31日下午消息,Mozilla宣布,为了提升安全性,降低崩溃频率,火狐浏览器将封杀微软Silverlight、Adobe Reader、苹果QuickTime和甲骨文Java等众多插件。

Mozilla安全保障总监迈克尔·科茨(Michael Coates)周三通过博客表示,只有最新版的Adobe Flash播放器插件可以在火狐浏览器中默认运行。
===================================================

迈克菲:如何规避Java漏洞带来的安全风险

Java这个词对大家来说并不陌生,它是一种编程语言和计算平台,在您家中的任何设备上都有它的身影。它支持游戏、商务应用和聊天室等,运行在全球数十亿部设备上(PC、Mac、iOS、Android 等)。

  迈克菲全球个人消费市场副总裁Gary Davis

  Java这个词对大家来说并不陌生,它是一种编程语言和计算平台,在您家中的任何设备上都有它的身影。它支持游戏、商务应用和聊天室等,运行在全球数十亿部设备上(PC、Mac、iOS、Android 等)。在了解了它的广泛程度与传播力度之后,您就会明白网络犯罪分子为何将 Java 作为首要目标。攻克 Java,犯罪分子就有了侵入由连接互联网的设备构成的全球网络的“敲门砖”。

  事实上,在上周,java就遭受了一个新的安全问题。这一安全问题被归类为零日威胁,它会向缺少保护的计算机传播恶意软件。零日威胁是一种利用计算机应用程序(例如Java)中未知的漏洞发起的攻击,这意味着该攻击发生在发现该漏洞的当日(即零日)。迈克菲实验室的研究团队指出,这是一种非常危险的威胁:只要浏览恶意网页或单击垃圾邮件中的链接就足以遭受感染。

  针对Java漏洞的安全建议

  Java 广泛用于大量设备对攻击者同样具有巨大吸引力,这也是 Windows 设备比其他任何平台易遭受更多病毒攻击的原因--网络犯罪分子针对应用最广泛的平台编写恶意软件可获得最大回报。为了完全保护您的计算机规避这一漏洞及今后的 Java 漏洞带来的侵害,我们建议您对您所有的设备采取以下措施:

  1.了解是否安装 Java:Java 网站提供一种简便方式来帮助您了解是否安装了 Java,而且会显示已安装的 Java 版本。该过程仅用时 10-20 秒,您可通过单击 Java 主页下载按钮下的“Do I have Java?”链接来进行查看。这个新晋漏洞影响的主要版本是 Java 7,但也可能影响 Java 6 及更早版本。

  2.从您的主 Web 浏览器删除 Java :最新版 Java 包含如何在您的 Web 浏览器中禁用 Java 插件,其中包含针对 Windows XP、Vista 和 Windows 8 的特定指南。由于新 Java 漏洞每年发现多次,我们建议所有用户或者卸载 Java 或者从您的主浏览器中禁用该插件。

  3.必要时使用替代浏览器:如果您偏爱的网站需要 Java,有助于缓解风险的方式是下载专用于该网站的浏览器。例如,如果您经常用 火狐(Firefox),请禁用 Firefox 的 Java 插件,并使用具有了 Java 功能的替代浏览器(Chrome、IE9、Safari、Opera)来访问您喜爱的网站。这一方法并不是十分安全,但却能缓解风险。

  4.下载免费的 McAfee SiteAdvisor 软件:McAfee SiteAdvisor 是屡获殊荣的浏览器插件,可在您点击风险网站之前给出安全建议。安装 SiteAdvisor 后,您的浏览器会向搜索结果添加网站评级小图标,就存在潜在风险的网站对您进行警告,帮助您找到更安全的替代网站。此外,您还可以通过下载 McAfee All Access 保护自己的所有设备(包括 PC、Mac 产品、智能手机和平板电脑)免遭类似安全威胁的侵害。

  社会工程攻击

  实际上,为了修复零日攻击所带来的问题,甲骨文(Oracle)发布了一个旨在修复这一 Java 安全漏洞的软件更新。这一软件的发布,吸引了众多用户进行踊跃下载,殊不知,与此同时大量犯罪分子也在蠢蠢欲动,因为他们能创建看起来和 Java 更新网站一模一样的山寨站点,从而诱使大量用户下载其恶意软件。这便称为社会工程攻击。

  而对于家庭用户而言,为了避免社会工程攻击,您需要做到如下几点:

  1.加倍留意网站的 URL。恶意网站可能看起来与合法站点一样,但其 URL 通常使用拼写变体或不同的域(例如, yahoo.com 的变体 yahoo.co)。

  2.注意语法和拼写。很多非法站点(包括假冒 Java 更新网站)会有拼错的字和语法错误。

  3.警惕您并未请求却要求您分享个人信息、更改密码或下载软件的来电或电子邮件。如果未知个人声称来自合法公司,请尽量在采取行动前直接通过其公司验证其身份。

  4.安装全面的防病毒软件(如 McAfee All Access)并进行更新,来防范垃圾邮件、恶意流量和恶意站点。

转载自:http://webservices.ctocio.com.cn/444/12537444.shtml

原文链接:https://allinfa.com/oracle-java-security-update-50.html
原文标题:甲骨文紧急发布Java安全更新修正50个安全漏洞 - 美博园
※ 除声明转载,美博园文章均为"原创",软件版权归原作者,转载请以上面超链接注明来源!

本文TinyURL短网址: http://tinyurl.com/y83b48zf
本文Google短网址: https://goo.gl/f7X2ai

如喜欢本站请订阅: 或者 点此【RSS订阅真相网】

网 友 留 言

1条评论 in “甲骨文紧急发布Java安全更新修正50个安全漏洞”
  1. Andrzeja says:

    http://arstechnica.com/security/2013/01/red-october-espionage-platform-unplugged-hours-after-its-discovery/
    "Red October espionage platform unplugged hours after its discovery
    Command servers and domains that targeted governments around the world go dark.

    by Dan Goodin - Jan 18, 2013 11:50 pm UTC

    Hacking
    National Security

    31

    Key parts of the infrastructure supporting an espionage campaign that targeted governments around the world reportedly have been shut down in the days since the five-year operation was exposed.

    The so-called Red October campaign came to light on Monday in a report from researchers from antivirus provider Kaspersky Lab. It reported that the then-ongoing operation was targeting embassies as well as governmental and scientific research organizations in a wide variety of countries. The research uncovered more than 60 Internet domain names used to run the sprawling command and control network that funneled malware and received stolen data to and from infected machines. In the hours following the report, many of those domains and servers began shutting down, according to an article posted Friday by Kaspersky news service Threatpost.

    "It's clear that the infrastructure is being shut down," Kaspersky Lab researcher Costin Raiu told the service. "Not only the registers killing the domains and the hosting providers killing the command-and-control servers but perhaps the attackers shutting down the whole operation."

    One of Red October's innovations is a command infrastructure that uses multiple layers of servers and domains that act as proxies to camouflage the core functions in the operation. Mashable reporter Lorenzo Franceschi-Bicchierai quoted Raiu as describing the design as an "onion with multiple skins" with a mothership at its center that collects all the stolen data. Raiu said most of the unplugged domains and disconnected servers seen so far represent first-level proxies. He speculated the operation may go dormant for a while and then come back using different servers or domains, or even different malware altogether......................................................."

    2013年2月11日

这里是你留言评论的地方

10 + 8 =
Copyright © 2007 - 2018 , Design by 美博园. 版权所有. 若有版权问题请留言通知本站管理员. 【回到顶部】