PCDVD數位科技討論區
第5頁 共7頁 « 第一 上一頁 2 3 4 5 6 7 下一頁
每頁顯示此主題的 10 個文章

PCDVD數位科技討論區 (https://www.pcdvd.com.tw/index.php)
-   七嘴八舌異言堂 (https://www.pcdvd.com.tw/forumdisplay.php?f=12)
-   -   美國警告!立即解除電腦Java,免遭駭客入侵,自遠端執行指令 (https://www.pcdvd.com.tw/showthread.php?t=997804)

u8526425 2013-04-17 04:42 PM
甲骨文釋出Java 7 Update 21,修補42個安全漏洞
http://www.ithome.com.tw/itadm/article.php?c=79835

甲骨文調整了原本只在2月、6月及10月的Java更新周期,在本周二(4/16)發表重大修補更新(Critical Patch Update,CPU),釋出Java 7 Update 21,以修補42個Java安全漏洞。

Java 7 Update 21提供了包含安全性及非安全性的更新,在42個安全更新中有39個漏洞允許遠端攻擊,例如不需要使用者名稱或密碼便能透過網路攻擊的漏洞。

甲骨文以CVSS 2.0 (Common Vulnerability Scoring System) 評等漏洞的嚴重程度,從0.0到10.0分,10分代表最危急,其中有19個漏洞被評為10分。甲骨文強烈建議用戶儘快部署Java 7 Update 21。

另外甲骨文也改變了Java 7 Update 21中的安全控制功能,當使用者要透過瀏覽器執行任何Java程式時都會跳出警告視窗要求使用者確認。訊息的內容將會依據Java程式的風險等級而有所不同。若是低風險等級的Java程式只會出現簡單的提醒並允許使用者存取更多資訊,而高風險等級的程式意味著該程式未經CA認證或使用無效認證。

因此,甲骨文鼓勵Java程式開發人員應該要取得可靠認證機構(Certificate Authority,CA)對程式的數位憑證,以協助使用者判斷是否該執行Java程式,該憑證主要是用來證明開發人員的身份及與程式之間的連結。

甲骨文指出,透過瀏覽器執行的Java受到駭客青睞並成為攻擊目標,數位憑證的設計將可強制開發人員為這些程式的安全性負責。

今年Java漏洞頻傳並殃及微軟、蘋果及Facebook等業者,讓甲骨文於今年2月緊急更新Java,並導致蘋果在Safari瀏覽器中封鎖Java,同時引起外界的一片撻伐聲浪,才促成甲骨文本周於原本的周期外發表Java的重大修補更新。

chaotommy 2013-04-17 05:33 PM
:jolin: :jolin: :jolin:

野口隆史 2013-04-17 06:25 PM
我自己編譯了一個比較特殊版本的Firefox
除了性能比較高之外
還可以anti hook,anti buffer overflow
https://code.google.com/p/lawlietfo...&q=#makechanges

只是欠缺測試,還不知道實際效果如何

willism 2013-04-17 06:45 PM
引用:
作者野口隆史
我自己編譯了一個比較特殊版本的Firefox
除了性能比較高之外
還可以anti hook,anti buffer overflow
https://code.google.com/p/lawlietfo...&q=#makechanges

只是欠缺測試,還不知道實際效果如何

前一版開IE TAB只要切換分頁就當掉,所以後來又換回tete版

野口隆史 2013-04-17 06:47 PM
引用:
作者willism
前一版開IE TAB只要切換分頁就當掉,所以後來又換回tete版

前一版是哪一版?
我的anti buffer overflow到現在只有一版

willism 2013-04-17 09:28 PM
引用:
作者野口隆史
前一版是哪一版?
我的anti buffer overflow到現在只有一版

忘了,大概是3月多的事吧,應該是19.x

筆電和桌電系統都是win 7 64bit,也都有這問題,後來移掉了

pcdvd-2011 2013-04-17 09:42 PM
那為啥網路銀行非java這爛東西不可?

:jolin:

sazabijiang 2013-04-17 09:56 PM
引用:
作者pcdvd-2011
那為啥網路銀行非java這爛東西不可?

:jolin:


因為剛開始有網路銀行的那個年代
用IIS跟SQL 6.5開發金融系統根本是找死...

u8526425 2013-04-25 04:55 PM
Java漏動出現大量攻擊,使用者立即修補!
http://www.ithome.com.tw/itadm/article.php?c=79975

資安公司F-Secure發佈一份資安通告,表示有惡意軟體利用甲骨文(Oracle)上周才剛修補的漏洞展開大量攻擊,因此使用者應立即更新Java至最新版本Java 7 Update 21。另一方面,也有資安專家在Java 7 Update 21中又找到新的漏洞。

獨立惡意軟體研究人員Kafeine也發現一個勒索軟體Reveton利用此次更新的漏洞進行攻擊,該惡意軟體會鎖住電腦作業系統,然後以使用者使用非法軟體或非法下載為藉口,要求繳交罰金。

F-Secure表示,多個惡意軟體使用上周Java 7 Update 21所修補的39個遠端執行碼漏洞之一,並將其包裹在RedKit或CrimeBoss攻擊套件之中,上周日(4/21)這些攻擊程式被啟動並感染非特定的使用者。新的攻擊程式碼架構與一個用於預防滲透或入侵的Metasploit framework類似,大部分的攻擊事件都在該模組加入新修補漏洞後隔天出現。

媒體指出,私人企業銷售類似或更強大的入侵工具給政府機關已經有些時日,價格大約為數十萬美元,Metasploit這個開放源碼專案在正面用途可以檢驗出漏洞並提升網站安全,但也導致惡意程式模仿其能力進行攻擊。

F-Secure並沒有說明該惡意程式所在的伺服器或如何展開攻擊,但根據Oracle的漏洞說明,利用該漏洞之後遠端執行程式不需要驗證就可以執行。

另一家資安公司Security Explorations表示,雖然還未看到攻擊事件,但他們在最新版本的Java 7 Update 21中找到新的漏洞,該漏洞位於Java的Reflection API,可以讓程式跳過Java的沙箱保護機制。

該公司執行長Adam Gowdiak向媒體表示,Reflection API經常導致Java 7出現漏洞,如果使用不當很容易引發安全問題。他還指責Oracle一直讓大眾以為這些遠端執行漏洞僅會影響到終端使用者,但該公司曾經證明這些漏洞同樣可以對Java伺服器進行攻擊。(編譯/沈經)

Natelee 2013-04-25 05:26 PM
補洞的速度永遠來不及挖洞的速度 :flash:
甲骨文振作阿 :cry:


所有的時間均為GMT +8。 現在的時間是06:56 AM.
第5頁 共7頁 « 第一 上一頁 2 3 4 5 6 7 下一頁
每頁顯示此主題的 10 個文章

vBulletin Version 3.0.1
powered_by_vbulletin 2025。