昨天找上抓還是J7U10
今天就變成J7U11了
伺服器那些又得重弄一次

Java更新 美仍建議停用
http://udn.com/NEWS/BREAKINGNEWS/BR...5/7637181.shtml

更新成 7U11 後就可以進網路郵局了。
真是太奇妙了。

因為 Firefox 直接把 7U10、7U9、6U37 & 6U38 等幾個有問題的版本放到黑名單內，所以網路郵局當然就不能用了

我已經把JAVA從電腦中移除了...

US-CERT：Java漏洞沒補好，建議關閉
http://www.ithome.com.tw/itadm/article.php?c=78345

美國國土安全部（Department of Homeland Security）旗下的美國電腦緊急應變小組（US-CERT）上周警告Java 7含有零時差漏洞，甲骨文幾天後即釋出Java 7 update 11進行修補，然而US-CERT仍然建議，除非一定要在瀏覽器中執行Java，否則在更新至Java 7 update 11後最好還是關閉Java，以防未來可能出現的其他Java漏洞。

US-CERT指出，甲骨文宣稱Java 7 update 11修補了兩項嚴重漏洞，但資安業者Immunity卻說甲骨文只修補其中一項漏洞，而且Java 7 update 11只是把Java的安全預設值調高，以在系統執行未授權的Java程式時跳出提醒。

Immunity說明，軟體業者透過修補程式解決蠕蟲/0day漏洞的時候，並不一定會去解決所有的相關問題，而他們仔細研究Java 7 update 11時發現，甲骨文只處理了當中一個漏洞，意味著另一個漏洞仍會被攻擊；此一修補程式的確因解決其中一個問題而阻止了攻擊程式，但了解Java的駭客在另一個零時差漏洞的協助下將能繼續危害使用者。

Immunity警告，Java已成為駭客經常鎖定的目標，因此若駭客以另一個漏洞來取代已修補的漏洞且再度執行攻擊一點都不令人訝異，甲骨文及Java用戶應該關心各個漏洞，因為每個漏洞都很重要。

US-CERT建議使用者關閉瀏覽器的Java功能，或是限制Java程式的存取。（編譯/陳曉莉）

Java又被挖出兩個零時差漏洞
http://www.ithome.com.tw/itadm/article.php?c=78997

波蘭資安公司Security Explorations周二（2/26）公布一份向甲骨文（Oracle）提報漏洞的報告文件顯示，近日頻頻爆出零時差攻擊事件且持續更新的Java仍有致命的漏洞。

該公司創辦人兼執行長Adam Gowdiak表示，最新發現的兩個Java漏洞（編號54、55），若在Java 7 update 15中同時運用這兩個漏洞，惡意軟體完全不受Java沙箱保護機制的任何限制。這兩個漏洞只在Java 7環境之下有效，舊版Java 6則不受影響。

Security Explorations已經將漏洞的詳細資料提交給Oracle，並表示在Oracle處理完畢之前不會公布漏洞詳細資料。Oracle向媒體表示已經收到資料，正在研究漏洞的細節。

近期Java零時差攻擊事件頻傳，受害的廠商涵蓋蘋果、Facebook、Twitter與微軟等科技大廠，大部分是遭受一個暗藏於iOS開發工具論壇的惡意軟體入侵。專家認為連這些嚴謹的大型科技公司都中招，那實際受影響的人員可能更多。

這些攻擊事件導致Oracle在本月連續推出Java更新修補漏洞，蘋果也更新其作業系統作為應對。

專家呼籲使用者，如果沒有日常工作上的需求，應該將瀏覽器中的Java外掛移除或關閉，部分專家甚至認為應該把Java自電腦中完全移除。（編譯/沈經）

甲骨文: 坎 Sun Micro 賣給我的爛貨