查看完整版本: Java 7存漏洞 美国政府因安全问题建议禁用Java插件[1P]

Java 7存漏洞 美国政府因安全问题建议禁用Java插件[1P]

日前，一个被称为“Mal/JavaJar-B”的特洛伊木马病毒利用甲骨文Java 7上的漏洞在在Windows、Linux和Unix等系统疯狂传播。

安全厂商Sophos将该安全漏洞描述为“零日攻击”漏洞：当开发者有机会对其进行调查并试图修复时，该漏洞已被恶意软件利用。国家漏洞数据库目前正在对该漏洞进行评估，并给定该漏洞ID码为：CVE-2013-0422——该区段的漏洞相对仍属未知漏洞。

截至目前，已发现相关恶意软件利用该漏洞对Windows、Linux和Unix等系统进行攻击，但目前并未过多的关注OS X系统的情况，或许跟OS X在很大程度上类似于Unix，而且Java是跨平台产品。此外，黑客目前正竞相利用该漏洞疯狂传播“Blackhole”和“NuclearPack”等开发工具。

[b]美国政府建议禁用Java插件[/b]

美国国土安全部要求计算机用户禁用甲骨文的Java软件，在此之前，计算机安全专家已对用该软件上网浏览网页的消费者和企业发出警告。

黑客已经找到了如何利用Java软件安装恶意软件，从而使他们能实施各种犯罪行为，包括盗窃身份证号码及利用被感染的计算机攻击其它网站等。

美国国土安全部计算机应急准备小组周四晚些时候在其网站上发布一份通告称：“目前我们还没有找到该问题切实可行的解决方案。”

这份通告表示：“Java新的和之前的漏洞已成为黑客广泛的攻击目标，Java新的漏洞很容易被发现。为了防范Java这一新的及未来的漏洞，计算用户应在其Web浏览器中禁用Java插件。”

美国政府部门很少由于安全漏洞的原因，建议计算机用户完全禁用某种软件，特别是像Java这样被广泛使用的软件。他们通常建议计算机用户采取一定措施，以减轻被攻击的风险，同时软件生产商着手进行软件升级；或直到软件生产商对存在漏洞软件的升级做好准备后，才向外界公布新发现的安全问题。

[b]苹果迅速反应禁用Java[/b]

这次苹果反应的非常迅速，目前苹果已经更新了Xprotect.plist文件，更新之后的文件需要Java最低的版本为 1.7.0_10-b19，目前最新的Java 7版本为1.7.0_10-b18，这意味着所有已经安装Java的Mac电脑将自动禁用Java，直到 更新补丁发布。

[img]http://img4.cache.netease.com/tech/2013/1/12/201301120944569eb39.jpg[/img]

几年之前，苹果一直为OS X系统发布Java运行环境。在2010年10月，OS X的Java运行环境开始转交到甲骨文（Oracle）公司，乔布斯表示之前的安全使得OS X系统的Java运行环境总是比其他平台更新慢。因此，乔布斯承认让苹果自己负责Java的更新似乎并不是最好的方式。

去年8月，OS X平台的Java运行环境正式移交给甲骨文（Oracle），甲骨文（Oracle）随后就为OS X发布了Java 7。不过目前的Mac系统默认并没有安装Java 7，这意味着Java出问题也不会影响那些没有安装Java的用户。目前甲骨文（Oracle）还没有公布安全漏洞修正补丁的发布时间。

[[i] 本帖最后由 adda 于 2013-1-13 04:20 编辑 [/i]]

java容易被反编译，所以安全上一直是个问题，不过java真的是一个好语言

甲骨文这次行动太慢了。sun这么好的公司被其收购真是废了。

*** 作者被禁止或删除 内容自动屏蔽 ***

JAVA很多人骂，但是我们的很多东西都离不开，Minecraft还是基于JAVA的呢...

Oracle已经放出java7 update 11, 主要修复相关的漏洞。 Java主要是用于server端，这次的问题出在java的浏览器插件上，现在用applet的已经很少了，如果还用的话，基本上是不得不继续使用。

开放之后安全居然成了问题，这可怎么办啊，再见Java

Java 是个好东西，对于没有电脑基础知识的人还是很复杂的，没有利益冲突的话还是不关掉的好。现在自动关了哎

[[i] 本帖最后由 好好的坏事 于 2013-1-21 20:16 编辑 [/i]]

JAVA被oracle收购之后，开发周期变短了。版本更新很快。而且很多技术大牛离开了原来的JAVA开发团队，比如JAVA之父。所以JAVA曝出安全漏洞不足为奇。加上现在的信息开放，安全界更活跃。挖掘出漏洞是很正常的。并且JAVA几乎安装在所有的计算机上了，这将会引起另一场网络安全的腥风血雨。