US-CERT：Java漏洞沒補好，建議關閉
http://www.ithome.com.tw/itadm/article.php?c=78345

美國國土安全部（Department of Homeland Security）旗下的美國電腦緊急應變小組（US-CERT）上周警告Java 7含有零時差漏洞，甲骨文幾天後即釋出Java 7 update 11進行修補，然而US-CERT仍然建議，除非一定要在瀏覽器中執行Java，否則在更新至Java 7 update 11後最好還是關閉Java，以防未來可能出現的其他Java漏洞。

US-CERT指出，甲骨文宣稱Java 7 update 11修補了兩項嚴重漏洞，但資安業者Immunity卻說甲骨文只修補其中一項漏洞，而且Java 7 update 11只是把Java的安全預設值調高，以在系統執行未授權的Java程式時跳出提醒。

Immunity說明，軟體業者透過修補程式解決蠕蟲/0day漏洞的時候，並不一定會去解決所有的相關問題，而他們仔細研究Java 7 update 11時發現，甲骨文只處理了當中一個漏洞，意味著另一個漏洞仍會被攻擊；此一修補程式的確因解決其中一個問題而阻止了攻擊程式，但了解Java的駭客在另一個零時差漏洞的協助下將能繼續危害使用者。

Immunity警告，Java已成為駭客經常鎖定的目標，因此若駭客以另一個漏洞來取代已修補的漏洞且再度執行攻擊一點都不令人訝異，甲骨文及Java用戶應該關心各個漏洞，因為每個漏洞都很重要。

US-CERT建議使用者關閉瀏覽器的Java功能，或是限制Java程式的存取。（編譯/陳曉莉）