甲骨文釋出Java 7 Update 21，修補42個安全漏洞
http://www.ithome.com.tw/itadm/article.php?c=79835

甲骨文調整了原本只在2月、6月及10月的Java更新周期，在本周二（4/16）發表重大修補更新（Critical Patch Update，CPU），釋出Java 7 Update 21，以修補42個Java安全漏洞。

Java 7 Update 21提供了包含安全性及非安全性的更新，在42個安全更新中有39個漏洞允許遠端攻擊，例如不需要使用者名稱或密碼便能透過網路攻擊的漏洞。

甲骨文以CVSS 2.0 (Common Vulnerability Scoring System) 評等漏洞的嚴重程度，從0.0到10.0分，10分代表最危急，其中有19個漏洞被評為10分。甲骨文強烈建議用戶儘快部署Java 7 Update 21。

另外甲骨文也改變了Java 7 Update 21中的安全控制功能，當使用者要透過瀏覽器執行任何Java程式時都會跳出警告視窗要求使用者確認。訊息的內容將會依據Java程式的風險等級而有所不同。若是低風險等級的Java程式只會出現簡單的提醒並允許使用者存取更多資訊，而高風險等級的程式意味著該程式未經CA認證或使用無效認證。

因此，甲骨文鼓勵Java程式開發人員應該要取得可靠認證機構（Certificate Authority，CA）對程式的數位憑證，以協助使用者判斷是否該執行Java程式，該憑證主要是用來證明開發人員的身份及與程式之間的連結。

甲骨文指出，透過瀏覽器執行的Java受到駭客青睞並成為攻擊目標，數位憑證的設計將可強制開發人員為這些程式的安全性負責。

今年Java漏洞頻傳並殃及微軟、蘋果及Facebook等業者，讓甲骨文於今年2月緊急更新Java，並導致蘋果在Safari瀏覽器中封鎖Java，同時引起外界的一片撻伐聲浪，才促成甲骨文本周於原本的周期外發表Java的重大修補更新。