甲骨文紧急发布Java安全更新修正50个安全漏洞

前一段时间Java多次被爆出严重安全漏洞，浏览器开发商Mozilla为此禁用了Java插件，连美国国土安全部还建议卸载Java。上个月甲骨文公司（Oracle）爆出了一个巨大的java 漏洞，导致所有安装了java 引擎的系统包括号称安全的OS X 都有可能被网页上运行java 恶意代码感染引发安全问题造成隐私泄露。 在昨天终于甲骨文公司（Oracle）发布了新的版本，修复了 OS X 可能被感染病毒的风险。

此前，因上一版本 Java 出现重要安全漏洞，已被苹果快速反应，通过 OS X 系统的 Xprotect 安全机制远程禁用了所有 1.7.0_10-b18 版本以前的 Java。更新后Java已经可以在OS X平台运行。

这次全新发布的Java版本，包括Java 7 Update 13、Java 6 Update 39，以及JavaFX 2.2.5。(图片来源)

这次全新发布的Java版本，包括Java 7 Update 13、Java 6 Update 39，以及JavaFX 2.2.5（甲骨文表示其计划在本月底之后，全面停止Java 6更新程序的发布作业）。

根据甲骨文表示，全新Java软件旨在解决出现在以下版本Java软件中的安全漏洞（以及之前所列出的所有版本）：Java 7 Update 11、Java 6 Update 38、Java 5 Update 38、SDK开发套件及Java Runtime Environment 1.4.2_40，以及JavaFX 2.2.4等。

在甲骨文每一版的通用漏洞评分系统(Common Vulnerability Scoring System, CVSS)中，全新安全更新中50个漏洞修补里，竟有高达26个漏洞在CVSS等级表中被评为“10”（最严重级），这意味着恶意攻击者可以透过这些安全漏洞，完全劫持掌控目标电脑。

同时，其中有3个漏洞，会同时出现在Java用户端及服务器端；根据甲骨文表示，“并可透过不受信任的Java Web Start应用部署及不受信任的Java Applet，来发动漏洞攻击，抑或也可在不透过Java Web Start应用部署或不受信任之Java Applet的情况下，而直接将资料提供给位于特定元件中的API，像是透过Web Service来发动攻击。”

最新Java更新程序所锁定的安全漏洞，举凡IBM X-Force、iDefense、Information Security Partners(iSEC)、Red Hat、Security Explorations与TippingPoint皆早已针对这些漏洞向甲骨文通报。

根据波兰安全研究公司Security Explorations表示，甲骨文修补其所通报的4个安全漏洞，分别是该公司编号29、50、52及53的安全漏洞。其中编号53的安全漏洞，是该公司10天前不到才刚通报给甲骨文的漏洞。
===========================================
据悉1月31日下午消息，Mozilla宣布，为了提升安全性，降低崩溃频率，火狐浏览器将封杀微软Silverlight、Adobe Reader、苹果QuickTime和甲骨文Java等众多插件。

Mozilla安全保障总监迈克尔·科茨(Michael Coates)周三通过博客表示，只有最新版的Adobe Flash播放器插件可以在火狐浏览器中默认运行。
===================================================

迈克菲：如何规避Java漏洞带来的安全风险

Java这个词对大家来说并不陌生，它是一种编程语言和计算平台，在您家中的任何设备上都有它的身影。它支持游戏、商务应用和聊天室等，运行在全球数十亿部设备上（PC、Mac、iOS、Android 等）。

　　迈克菲全球个人消费市场副总裁Gary Davis

　　Java这个词对大家来说并不陌生，它是一种编程语言和计算平台，在您家中的任何设备上都有它的身影。它支持游戏、商务应用和聊天室等，运行在全球数十亿部设备上(PC、Mac、iOS、Android 等)。在了解了它的广泛程度与传播力度之后，您就会明白网络犯罪分子为何将 Java 作为首要目标。攻克 Java，犯罪分子就有了侵入由连接互联网的设备构成的全球网络的“敲门砖”。

　　事实上，在上周，java就遭受了一个新的安全问题。这一安全问题被归类为零日威胁，它会向缺少保护的计算机传播恶意软件。零日威胁是一种利用计算机应用程序(例如Java)中未知的漏洞发起的攻击，这意味着该攻击发生在发现该漏洞的当日(即零日)。迈克菲实验室的研究团队指出，这是一种非常危险的威胁：只要浏览恶意网页或单击垃圾邮件中的链接就足以遭受感染。

　　针对Java漏洞的安全建议

　　Java 广泛用于大量设备对攻击者同样具有巨大吸引力，这也是 Windows 设备比其他任何平台易遭受更多病毒攻击的原因--网络犯罪分子针对应用最广泛的平台编写恶意软件可获得最大回报。为了完全保护您的计算机规避这一漏洞及今后的 Java 漏洞带来的侵害，我们建议您对您所有的设备采取以下措施：

　　1.了解是否安装 Java：Java 网站提供一种简便方式来帮助您了解是否安装了 Java，而且会显示已安装的 Java 版本。该过程仅用时 10-20 秒，您可通过单击 Java 主页下载按钮下的“Do I have Java?”链接来进行查看。这个新晋漏洞影响的主要版本是 Java 7，但也可能影响 Java 6 及更早版本。

　　2.从您的主 Web 浏览器删除 Java ：最新版 Java 包含如何在您的 Web 浏览器中禁用 Java 插件，其中包含针对 Windows XP、Vista 和 Windows 8 的特定指南。由于新 Java 漏洞每年发现多次，我们建议所有用户或者卸载 Java 或者从您的主浏览器中禁用该插件。

　　3.必要时使用替代浏览器：如果您偏爱的网站需要 Java，有助于缓解风险的方式是下载专用于该网站的浏览器。例如，如果您经常用 火狐(Firefox)，请禁用 Firefox 的 Java 插件，并使用具有了 Java 功能的替代浏览器(Chrome、IE9、Safari、Opera)来访问您喜爱的网站。这一方法并不是十分安全，但却能缓解风险。

　　4.下载免费的 McAfee SiteAdvisor 软件：McAfee SiteAdvisor 是屡获殊荣的浏览器插件，可在您点击风险网站之前给出安全建议。安装 SiteAdvisor 后，您的浏览器会向搜索结果添加网站评级小图标，就存在潜在风险的网站对您进行警告，帮助您找到更安全的替代网站。此外，您还可以通过下载 McAfee All Access 保护自己的所有设备(包括 PC、Mac 产品、智能手机和平板电脑)免遭类似安全威胁的侵害。

　　社会工程攻击

　　实际上，为了修复零日攻击所带来的问题，甲骨文(Oracle)发布了一个旨在修复这一 Java 安全漏洞的软件更新。这一软件的发布，吸引了众多用户进行踊跃下载，殊不知，与此同时大量犯罪分子也在蠢蠢欲动，因为他们能创建看起来和 Java 更新网站一模一样的山寨站点，从而诱使大量用户下载其恶意软件。这便称为社会工程攻击。

　　而对于家庭用户而言，为了避免社会工程攻击，您需要做到如下几点：

　　1.加倍留意网站的 URL。恶意网站可能看起来与合法站点一样，但其 URL 通常使用拼写变体或不同的域(例如， yahoo.com 的变体 yahoo.co)。

　　2.注意语法和拼写。很多非法站点(包括假冒 Java 更新网站)会有拼错的字和语法错误。

　　3.警惕您并未请求却要求您分享个人信息、更改密码或下载软件的来电或电子邮件。如果未知个人声称来自合法公司，请尽量在采取行动前直接通过其公司验证其身份。

　　4.安装全面的防病毒软件(如 McAfee All Access)并进行更新，来防范垃圾邮件、恶意流量和恶意站点。

转载自：https://webservices.ctocio.com.cn/444/12537444.shtml