本文来源于我在InfoQ中文站翻译的文章,原文地址是:http://www.infoq.com/cn/news/2013/01/java7-fixed
近日,Oracle发布了Java SE 7u11以修复安全漏洞CVE-2013-0422,该漏洞在过去几天内得到了广泛的使用,可以在允许运行Java的浏览器上远程安装与执行代码。这利用了applet(通常没必要配置就可以在浏览器中运行Java),并且可以通过Java 7运行时的特性与反射来跳出安全沙箱。
虽然这是今年遇到的第一个与安全相关的修复,但Java 7此前就曾因安全漏洞成为了人们瞩目的焦点。在去年10月,CVE-2012-5083与CVE-2012-1531都会导致不受信任的代码在2D框架中运行。反馈的结果同样是使用了反射API。
但0day漏洞在诸如Metasploit与Blackhole的渗透工具中得到了广泛的应用。这导致美国国土安全局向用户发出警告,要求禁用掉浏览器中的Java,即便你更新到了Java7u11也要这样,从而避免未来可能会出现的安全问题。因此,Oracle的反应速度很快,虽然他们此前曾表示只会按照季度来发布安全更新。
Apple是首批远程禁用掉浏览器中Java的公司之一,他向OSX反恶意软件描述文件中发布了一个更新,位于/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist。这增加了一个最小版本以允许Java applet能够运行在浏览器中:
<dict>
<key>LastModification</key>
<string>Thu, 10 Jan 2013 22:48:02 GMT</string>
<key>PlugInBlacklist</key>
<dict><key>10</key><dict>
<key>com.oracle.java.JavaAppletPlugin</key>
<dict><key>MinimumPlugInBundleVersion</key>
<string>1.7.10.19</string></dict>
</dict>
</dict>
</dict>
为了防止未来的漏洞,Java更新还将未签名的Java applet的运行仅限制在“高”安全上下文中。如果启用了Java applet插件,那么当发现了未签名的applet时就会弹出一个警告对话框。
要想知道浏览器是否可以运行Java,请进入到JavaTester网站。要想在浏览器中禁用Java applet,请按照Oracle的文档How to disable Java in the browser进行。运行在浏览器之外的Java应用并不受此次安全问题的影响,因为这种Java应用的运行无需安全管理器。
查看英文原文:Oracle Releases Security Fix for Java 7
分享到:
相关推荐
更新日志:JDK 7u17 发布,该版本修复了浏览器插件的严重的安全漏洞:CVE-2013-1493,Oracle 强烈建议使用 Java 浏览器插件用户升级。 重要补丁更新是针对多个安全漏洞的补丁集合。为Java SE重要补丁更新还包括非...
Java 7 由Sun公司(2009年4月20日被Oracle以74亿美元收购)于2011年7月7日首次推出,并于2011年7月28日正式面向开发人员发布。Java 7 的开发周期分为13个阶段,并于2011年2月18日全部达成。平均每个阶段又更新发布了8...
Dbseeker for Oracle Database是一款用Java语言开发的Oracle数据库恢复软件。Dbseeker能够绕过Oracle读数据引擎,直接扫描数据文件的数据块, 分析数据块格式,读取数据库中的表记录。因此,在由于各种原因引起的...
Java 7 由Sun公司(2009年4月20日被Oracle以74亿美元收购)于2011年7月7日首次推出,并于2011年7月28日正式面向开发人员发布。Java 7 的开发周期分为13个阶段,并于2011年2月18日全部达成。平均每个阶段又更新发布了8...
JDK 7u80 发布,该版本修复了浏览器插件的严重的安全漏洞:CVE-2013-1493,Oracle 强烈建议使用 Java 浏览器插件用户升级。Oracle今天已经放出Java 7正式版的二进制安装包,这不是小升级,而是Java诞生以来最大的...
Java 7 由Sun公司(2009年4月20日被Oracle以74亿美元收购)于2011年7月7日首次推出,并于2011年7月28日正式面向开发人员发布。Java 7 的开发周期分为13个阶段,并于2011年2月18日全部达成。平均每个阶段又更新发布了8...
oracle 甲骨文 获得最高认证级别的ISO标准安全认证,性能最高, 保持开放平台下的TPC-D和TPC-C的世界记录。但价格不菲 大型企业 db2 IBM DB2在企业级的应用最为广泛, 在全球的500家最大的企业中,几乎85%以上用DB2...
gt-checksum是GreatSQL社区开源的一款静态数据库校验修复工具,支持MySQL、Oracle等主流数据库。
Javashop是基于 Java技术构建的开源网店系统,其特色是组件机制和模板引擎让扩展变得简单,可有第三方组件可供选择,降低二次开发成本。 同时 Javashop推出 “ 第三方开发者合作共赢计划 ”,依托计时软件有效计算...
Oracle甲骨文公司Oracle公司如期发布了Java 8正式版!现在你就可以下载Java 8正式版了,同期发布的还有JDK 8。JDK8的特性已经基本准备就绪,虽然一些特性还不是特别完善,但开发人员已经开始庆祝这一里程碑事件了。 ...
Oracle甲骨文公司Oracle公司如期发布了Java 8正式版!现在你就可以下载Java 8正式版了,同期发布的还有JDK 8。JDK8的特性已经基本准备就绪,虽然一些特性还不是特别完善,但开发人员已经开始庆祝这一里程碑事件了。 ...
java7 hashmap源码 eclipse 快捷键 eclipse 中 导 包 的快捷键ctrl + shift + o , 也可以用ctrl + 1 来修复 即, 当java文件中因为没有导入文件报错时, 直接ctrl + shift + o 来修复 eclipse 中自动生成get 、set 、...
1.1.2 Oracle开发工具 7 1.1.3 Oracle应用程序 9 1.2 预备知识 9 1.2.1 Oracle概念 10 1.2.2 SQL概念 10 1.2.3 操作系统概念 11 1.3 单实例体系结构 11 1.3.1 单实例数据库体系结构 11 1.3.2 分布式系统...
Java通用代码生成器:光,支持sbmeu,smeu,msmeu三种技术栈,支持MariaDB,MySQL8,Oracle,PostgreSQL四种数据库,支持Excel,PDF,Word.,PPT四种格式数据导出。已支持生成Vue前端,已发布2.3.0 文明版本Beta8版。这种...
请留下评论或提出改进建议。 GIT上的源代码:... 最新更新和修复功能增加了以新的Office XLSX格式编写XLSX的功能。 添加了使用F4查看代码的功能。 使用F4添加了其他描述功能。
由于对Java 8的公共支持已在2019年第二季度结束,因此公司不再获得Java Web Start的任何更新和安全修复程序。 OpenWebStart提供了一个用户友好的安装程序,可以在将来的Java版本中使用Web Start / JNLP功能,而无需...
在 Oracle 退出和变更许可后,红帽宣布接手维护 OpenJDK 8 和 OpenJDK 11,为这两个 OpenJDK 的旧版本提供错误修复和安全补丁。
最新的JDK 8u121 发布了,安装包名称为jdk-8u121-windows-x64.exe,Java SE 8u121包括重要的安全修复,Oracle强烈建议所有Java SE 8用户升级到此版本,本站提供了jdk-8u121-windows-x64下载地址,JDK 8u121包含 2016...