甲骨文緊急發布Java安全更新修正50個安全漏洞

前一段時間Java多次被爆出嚴重安全漏洞，瀏覽器開發商Mozilla為此禁用了Java外掛程式，連美國國土安全部還建議卸載Java。上個月甲骨文公司（Oracle）爆出了一個巨大的java 漏洞，導致所有安裝了java 引擎的系統包括弧稱安全的OS X 都有可能被網頁上運行java 惡意代碼感染引發安全問題造成隱私泄露。 在昨天終於甲骨文公司（Oracle）發布了新的版本，修復了 OS X 可能被感染病毒的風險。

此前，因上一版本 Java 出現重要安全漏洞，已被蘋果快速反應，通過 OS X 系統的 Xprotect 安全機制遠程禁用了所有 1.7.0_10-b18 版本以前的 Java。更新後Java已經可以在OS X平台運行。

這次全新發布的Java版本，包括Java 7 Update 13、Java 6 Update 39，以及JavaFX 2.2.5。(圖片來源)

這次全新發布的Java版本，包括Java 7 Update 13、Java 6 Update 39，以及JavaFX 2.2.5（甲骨文表示其計畫在本月底之後，全面停止Java 6更新程序的發布作業）。

根據甲骨文表示，全新Java軟體旨在解決出現在以下版本Java軟體中的安全漏洞（以及之前所列出的所有版本）：Java 7 Update 11、Java 6 Update 38、Java 5 Update 38、SDK開發套件及Java Runtime Environment 1.4.2_40，以及JavaFX 2.2.4等。

在甲骨文每一版的通用漏洞評分系統(Common Vulnerability Scoring System, CVSS)中，全新安全更新中50個漏洞修補里，竟有高達26個漏洞在CVSS等級表中被評為｢10｣（最嚴重級），這意味著惡意攻擊者可以通過這些安全漏洞，完全劫持掌控目標電腦。

同時，其中有3個漏洞，會同時出現在Java用戶端及伺服器端；根據甲骨文表示，｢並可通過不受信任的Java Web Start應用部署及不受信任的Java Applet，來發動漏洞攻擊，抑或也可在不通過Java Web Start應用部署或不受信任之Java Applet的情況下，而直接將資料提供給位於特定元件中的API，像是通過Web Service來發動攻擊。｣

最新Java更新程序所鎖定的安全漏洞，舉凡IBM X-Force、iDefense、Information Security Partners(iSEC)、Red Hat、Security Explorations與TippingPoint皆早已針對這些漏洞向甲骨文通報。

根據波蘭安全研究公司Security Explorations表示，甲骨文修補其所通報的4個安全漏洞，分別是該公司編號29、50、52及53的安全漏洞。其中編號53的安全漏洞，是該公司10天前不到才剛通報給甲骨文的漏洞。
===========================================
據悉1月31日下午消息，Mozilla宣布，為了提升安全性，降低崩潰頻率，火狐瀏覽器將封殺微軟Silverlight、Adobe Reader、蘋果QuickTime和甲骨文Java等眾多外掛程式。

Mozilla安全保障總監邁克爾·科茨(Michael Coates)周三通過部落格表示，只有最新版的Adobe Flash播放器外掛程式可以在火狐瀏覽器中默認運行。
===================================================

邁克菲：如何規避Java漏洞帶來的安全風險

Java這個詞對大家來說並不陌生，它是一種程式語言和計算平台，在您家中的任何設備上都有它的身影。它支持遊戲、商務應用和聊天室等，運行在全球數十億部設備上（PC、Mac、iOS、Android 等）。

　　邁克菲全球個人消費市場副總裁Gary Davis

　　Java這個詞對大家來說並不陌生，它是一種程式語言和計算平台，在您家中的任何設備上都有它的身影。它支持遊戲、商務應用和聊天室等，運行在全球數十億部設備上(PC、Mac、iOS、Android 等)。在了解了它的廣泛程度與傳播力度之後，您就會明白網路犯罪分子為何將 Java 作為首要目標。攻克 Java，犯罪分子就有了侵入由連接網際網路的設備構成的全球網路的｢敲門磚｣。

　　事實上，在上周，java就遭受了一個新的安全問題。這一安全問題被歸類為零日威脅，它會向缺少保護的計算機傳播惡意軟體。零日威脅是一種利用計算機應用程式(例如Java)中未知的漏洞發起的攻擊，這意味著該攻擊發生在發現該漏洞的當日(即零日)。邁克菲實驗室的研究團隊指出，這是一種非常危險的威脅：只要瀏覽惡意網頁或單擊垃圾郵件中的鏈接就足以遭受感染。

　　針對Java漏洞的安全建議

　　Java 廣泛用於大量設備對攻擊者同樣具有巨大吸引力，這也是 Windows 設備比其他任何平台易遭受更多病毒攻擊的原因--網路犯罪分子針對應用最廣泛的平台編寫惡意軟體可獲得最大回報。為了完全保護您的計算機規避這一漏洞及今後的 Java 漏洞帶來的侵害，我們建議您對您所有的設備採取以下措施：

　　1.了解是否安裝 Java：Java 網站提供一種簡便方式來幫助您了解是否安裝了 Java，而且會顯示已安裝的 Java 版本。該過程僅用時 10-20 秒，您可通過單擊 Java 主頁下載按鈕下的｢Do I have Java?｣鏈接來進行查看。這個新晉漏洞影響的主要版本是 Java 7，但也可能影響 Java 6 及更早版本。

　　2.從您的主 Web 瀏覽器刪除 Java ：最新版 Java 包含如何在您的 Web 瀏覽器中禁用 Java 外掛程式，其中包含針對 Windows XP、Vista 和 Windows 8 的特定指南。由於新 Java 漏洞每年發現多次，我們建議所有用戶或者卸載 Java 或者從您的主瀏覽器中禁用該外掛程式。

　　3.必要時使用替代瀏覽器：如果您偏愛的網站需要 Java，有助於緩解風險的方式是下載專用於該網站的瀏覽器。例如，如果您經常用 火狐(Firefox)，請禁用 Firefox 的 Java 外掛程式，並使用具有了 Java 功能的替代瀏覽器(Chrome、IE9、Safari、Opera)來訪問您喜愛的網站。這一方法並不是十分安全，但卻能緩解風險。

　　4.下載免費的 McAfee SiteAdvisor 軟體：McAfee SiteAdvisor 是屢獲殊榮的瀏覽器外掛程式，可在您點擊風險網站之前給出安全建議。安裝 SiteAdvisor 後，您的瀏覽器會向搜尋結果添加網站評級小圖標，就存在潛在風險的網站對您進行警告，幫助您找到更安全的替代網站。此外，您還可以通過下載 McAfee All Access 保護自己的所有設備(包括 PC、Mac 產品、智能手機和平板電腦)免遭類似安全威脅的侵害。

　　社會工程攻擊

　　實際上，為了修復零日攻擊所帶來的問題，甲骨文(Oracle)發布了一個旨在修復這一 Java 安全漏洞的軟體更新。這一軟體的發布，吸引了眾多用戶進行踴躍下載，殊不知，與此同時大量犯罪分子也在蠢蠢欲動，因為他們能創建看起來和 Java 更新網站一模一樣的山寨站點，從而誘使大量用戶下載其惡意軟體。這便稱為社會工程攻擊。

　　而對於家庭用戶而言，為了避免社會工程攻擊，您需要做到如下幾點：

　　1.加倍留意網站的 URL。惡意網站可能看起來與合法站點一樣，但其 URL 通常使用拼寫變體或不同的域(例如， yahoo.com 的變體 yahoo.co)。

　　2.注意語法和拼寫。很多非法站點(包括假冒 Java 更新網站)會有拼錯的字和語法錯誤。

　　3.警惕您並未請求卻要求您分享個人信息、更改密碼或下載軟體的來電或電子郵件。如果未知個人聲稱來自合法公司，請盡量在採取行動前直接通過其公司驗証其身份。

　　4.安裝全面的防病毒軟體(如 McAfee All Access)並進行更新，來防範垃圾郵件、惡意流量和惡意站點。

轉載自：https://webservices.ctocio.com.cn/444/12537444.shtml