Oracle发布Java 7安全修复

标签: oracle java 安全 | 发表时间:2013-01-17 14:45 | 作者:
出处:http://pipes.yahoo.com/pipes/pipe.info?_id=10560380f804c7341f042a2b8a03e117

近日,Oracle发布了 Java SE 7u11以修复安全漏洞 CVE-2013-0422,该漏洞在过去几天内得到了广泛的使用,可以在允许运行Java的浏览器上远程安装与执行代码。这利用了applet(通常没必要配置就可以在浏览器中运行Java),并且可以通过 Java 7运行时的特性与反射来跳出安全沙箱。

虽然这是今年遇到的第一个与安全相关的修复,但Java 7此前就曾因安全漏洞成为了人们瞩目的焦点。在 去年10月CVE-2012-5083CVE-2012-1531都会导致不受信任的代码在2D框架中运行。反馈的结果同样是使用了反射API。

但0day漏洞在诸如Metasploit与Blackhole的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求 禁用掉浏览器中的Java,即便你更新到了Java7u11也要这样,从而避免未来可能会出现的安全问题。因此,Oracle的反应速度很快,虽然他们此前曾表示只会 按照季度来发布安全更新

Apple是首批远程禁用掉浏览器中Java的公司之一,他向OSX反恶意软件描述文件中发布了一个更新,位于/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许Java applet能够运行在浏览器中:

<dict>
        <key>LastModification</key>
        <string>Thu, 10 Jan 2013 22:48:02 GMT</string>
        <key>PlugInBlacklist</key>
        <dict><key>10</key><dict>
                <key>com.oracle.java.JavaAppletPlugin</key>
                <dict><key>MinimumPlugInBundleVersion</key>
                <string>1.7.10.19</string></dict>
                </dict>
        </dict>
</dict>

为了防止未来的漏洞,Java更新还将未签名的Java applet的运行仅限制在“高”安全上下文中。如果启用了Java applet插件,那么当发现了未签名的applet时就会弹出一个警告对话框。

要想知道浏览器是否可以运行Java,请进入到 JavaTester网站。要想在浏览器中禁用Java applet,请按照Oracle的文档 How to disable Java in the browser进行。运行在浏览器之外的Java应用并不受此次安全问题的影响,因为这种Java应用的运行无需安全管理器。

查看英文原文: Oracle Releases Security Fix for Java 7

译者 张龙 热衷于编程,乐于分享,对新技术有强烈的探索欲,对Java轻量级框架有一定研究。

您可能也会喜欢

相关 [oracle java 安全] 推荐:

Oracle发布Java 7安全修复

- - InfoQ cn
近日,Oracle发布了 Java SE 7u11以修复安全漏洞 CVE-2013-0422,该漏洞在过去几天内得到了广泛的使用,可以在允许运行Java的浏览器上远程安装与执行代码. 这利用了applet(通常没必要配置就可以在浏览器中运行Java),并且可以通过 Java 7运行时的特性与反射来跳出安全沙箱.

[Oracle] 数据库安全之 - Vault

- - CSDN博客推荐文章
Oracle用了整整一本书来阐述Valut,有兴趣的童鞋可以参考http://docs.oracle.com/cd/E11882_01/server.112/e23090/toc.htm,我个人觉得并不需要对它进行太深入的了解,只有知道有这么一回事就好了. 从宏观方面看,Vault属于Oracle数据库安全领域中-访问控制的部分,可参考《 [Oracle] 数据安全概述》.

Oracle和谷歌Java Android官司将推迟

- Dennis Lee - cnBeta.COM
Oracle和谷歌之间一场等待已久的官司可能会推迟至10月17日以后进行,这场官司的内容是Android操作系统所谓的Java专利权之争. 本案法官William Alsup称根据专利权专家Florian Mueller的预测,谷歌Oracle案很可能会被推迟.

要闻:法官裁定 Google 侵犯 Oracle Java 版权

- - LinuxTOY
根据 BBC 的报道,美国法官裁定 Google 侵犯了 Oracle Java 版权,但是尚未决定侵权行为是否属于版权法所允许的“合理公平使用”范畴. 位于加州旧金山的州法院裁定 Google 在 Android 系统中的 9 行代码侵犯了 Oracle 声称的三项 Java 版权中的一个,但是尚在审核该侵权行为是否适用于版权法中的“合理公平使用”范畴.

Oracle和Google拟就Android-Java一案的判决提起上诉

- - InfoQ cn
Google的移动操作系统Android以Java作为其基础,陪审团判决Google侵犯了Oracle的版权但并没有侵犯其专利. Oracle和Google都准备就判决结果提起上诉. 由于原案非常复杂,因此它被分为两部分审理——首先处理的是版权包含的内容,Java的API是否受版权法保护是颇有争议的;之后处理专利侵权问题.

Java惊现0day漏洞,Oracle紧急升级

- - InfoQ cn
8月中旬Oracle刚刚发布了Java 7u6和6u34版本,但短短半个月时间之后的8月30日,Oralce紧急发布了新版本的JDK和JRE,原因是发现了一个严重的0day漏洞 CVE-2012-4681,远程攻击者可以通过它绕开SecurityManager的限制执行代码,但服务器端和桌面端的Java程序不受该漏洞影响.

JAVA安全之JAVA服务器安全漫谈

- - WooYun知识库
本文主要针对JAVA服务器常见的危害较大的安全问题的成因与防护进行分析,主要为了交流和抛砖引玉. 以下为任意文件下载漏洞的示例. DownloadAction为用于下载文件的servlet. 在对应的download.DownloadAction类中,将HTTP请求中的filename参数作为待下载的文件名,从web应用根目录的download目录读取文件内容并返回,代码如下.

Oracle 要 Google CEO 就 “明知故犯” 的 Java 侵权案出庭作证

- Jeff - 谷奥——探寻谷歌的奥秘
Larry Page已经委任了三名现Google员工和前Google员工就 Java 侵权一案出庭作证,包括最初负责Google移动事业的前员工Dipchand Nishar、前高级软件工程师Bob Lee和贡献了部分受到质疑Java代码的现任Android软件工程师Tim Lindholm. 但Oracle并不满意,他们希望让Google CEO Larry Page也一起出庭作证.

Oracle Java SE 8 发行版更新:限制商业或生产用途

- - 开源中国社区最新新闻
Oracle Java SE 8 发行版更新. Oracle Java SE 8 的公开更新仍面向单独的个人使用提供,至少持续至 2020 年底. 2019 年 1 月以后发布的 Oracle Java SE 8 公开更新将不向没有商用许可证的业务、商用或生产用途提供. 如果您是使用者,将 Java 用于单独的个人用途,则至少在 2020 年底之前,您对 Oracle Java SE 8 更新仍具有与现在相同的访问权限.

Oracle专家全面解读数据库安全解决方案

- - 业界
当今IT安全建设的重点已经从传统的网络安全、系统安全、应用安全等领域,转向了如何加强IT系统核心的数据库安全防范. 企业越来越关心如何才能更有效地保护数据库不受侵害,做到敏感数据“看不见”、核心数据“拿不走”、运维操作“能审计”、非法访问的监控与审计,以及如何轻松达到《信息安全等级保护条例》的信息安全合规要求、满足中国SOX《企业内部控制基本规范》的规定,同时对现有生产系统不产生任何性能影响.