|
||
|
Elite Member
  加入日期: Oct 2002
文章: 4,803
|
甲骨文釋出Java 7 Update 21,修補42個安全漏洞
http://www.ithome.com.tw/itadm/article.php?c=79835 甲骨文調整了原本只在2月、6月及10月的Java更新周期,在本周二(4/16)發表重大修補更新(Critical Patch Update,CPU),釋出Java 7 Update 21,以修補42個Java安全漏洞。 Java 7 Update 21提供了包含安全性及非安全性的更新,在42個安全更新中有39個漏洞允許遠端攻擊,例如不需要使用者名稱或密碼便能透過網路攻擊的漏洞。 甲骨文以CVSS 2.0 (Common Vulnerability Scoring System) 評等漏洞的嚴重程度,從0.0到10.0分,10分代表最危急,其中有19個漏洞被評為10分。甲骨文強烈建議用戶儘快部署Java 7 Update 21。 另外甲骨文也改變了Java 7 Update 21中的安全控制功能,當使用者要透過瀏覽器執行任何Java程式時都會跳出警告視窗要求使用者確認。訊息的內容將會依據Java程式的風險等級而有所不同。若是低風險等級的Java程式只會出現簡單的提醒並允許使用者存取更多資訊,而高風險等級的程式意味著該程式未經CA認證或使用無效認證。 因此,甲骨文鼓勵Java程式開發人員應該要取得可靠認證機構(Certificate Authority,CA)對程式的數位憑證,以協助使用者判斷是否該執行Java程式,該憑證主要是用來證明開發人員的身份及與程式之間的連結。 甲骨文指出,透過瀏覽器執行的Java受到駭客青睞並成為攻擊目標,數位憑證的設計將可強制開發人員為這些程式的安全性負責。 今年Java漏洞頻傳並殃及微軟、蘋果及Facebook等業者,讓甲骨文於今年2月緊急更新Java,並導致蘋果在Safari瀏覽器中封鎖Java,同時引起外界的一片撻伐聲浪,才促成甲骨文本周於原本的周期外發表Java的重大修補更新。
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
|||||||
2013-04-17, 04:42 PM
#41
|
|
|
Elite Member
加入日期: Mar 2003 您的住址: Vancouver, Canada
文章: 15,006
|
 |
||
|
2013-04-17, 05:33 PM
#42
|
|
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 7,050
|
我自己編譯了一個比較特殊版本的Firefox
除了性能比較高之外 還可以anti hook,anti buffer overflow https://code.google.com/p/lawlietfo...&q=#makechanges 只是欠缺測試,還不知道實際效果如何
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3  I Always Get What I Want. |
|
2013-04-17, 06:25 PM
#43
|
|
|
Master Member
加入日期: Mar 2006
文章: 1,772
|
引用:
前一版開IE TAB只要切換分頁就當掉,所以後來又換回tete版 |
|
|
2013-04-17, 06:45 PM
#44
|
|
|
Elite Member
加入日期: Mar 2001 您的住址: Rivia
文章: 7,050
|
引用:
前一版是哪一版? 我的anti buffer overflow到現在只有一版
__________________
Folding@home with GPGPU集中討論串 Unix Review: ArchLinux●Sabayon●OpenSolaris 2008.5●Ubuntu 8.10 AVs Review: GDTC●AntiVir SS●ESS●KIS 09●NIS 09●Norton 360 V3 I Always Get What I Want. |
|
|
2013-04-17, 06:47 PM
#45
|
|
|
Master Member
加入日期: Mar 2006
文章: 1,772
|
引用:
忘了,大概是3月多的事吧,應該是19.x 筆電和桌電系統都是win 7 64bit,也都有這問題,後來移掉了 此文章於 2013-04-17 09:29 PM 被 willism 編輯. |
|
|
2013-04-17, 09:28 PM
#46
|
|
|
*停權中*
加入日期: Oct 2011
文章: 27
|
那為啥網路銀行非java這爛東西不可?
|
|
2013-04-17, 09:42 PM
#47
|
|
|
*停權中*
加入日期: Sep 2004 您的住址: 台北
文章: 8
|
引用:
因為剛開始有網路銀行的那個年代 用IIS跟SQL 6.5開發金融系統根本是找死... |
|
|
2013-04-17, 09:56 PM
#48
|
|
|
Elite Member
加入日期: Oct 2002
文章: 4,803
|
Java漏動出現大量攻擊,使用者立即修補!
http://www.ithome.com.tw/itadm/article.php?c=79975 資安公司F-Secure發佈一份資安通告,表示有惡意軟體利用甲骨文(Oracle)上周才剛修補的漏洞展開大量攻擊,因此使用者應立即更新Java至最新版本Java 7 Update 21。另一方面,也有資安專家在Java 7 Update 21中又找到新的漏洞。 獨立惡意軟體研究人員Kafeine也發現一個勒索軟體Reveton利用此次更新的漏洞進行攻擊,該惡意軟體會鎖住電腦作業系統,然後以使用者使用非法軟體或非法下載為藉口,要求繳交罰金。 F-Secure表示,多個惡意軟體使用上周Java 7 Update 21所修補的39個遠端執行碼漏洞之一,並將其包裹在RedKit或CrimeBoss攻擊套件之中,上周日(4/21)這些攻擊程式被啟動並感染非特定的使用者。新的攻擊程式碼架構與一個用於預防滲透或入侵的Metasploit framework類似,大部分的攻擊事件都在該模組加入新修補漏洞後隔天出現。 媒體指出,私人企業銷售類似或更強大的入侵工具給政府機關已經有些時日,價格大約為數十萬美元,Metasploit這個開放源碼專案在正面用途可以檢驗出漏洞並提升網站安全,但也導致惡意程式模仿其能力進行攻擊。 F-Secure並沒有說明該惡意程式所在的伺服器或如何展開攻擊,但根據Oracle的漏洞說明,利用該漏洞之後遠端執行程式不需要驗證就可以執行。 另一家資安公司Security Explorations表示,雖然還未看到攻擊事件,但他們在最新版本的Java 7 Update 21中找到新的漏洞,該漏洞位於Java的Reflection API,可以讓程式跳過Java的沙箱保護機制。 該公司執行長Adam Gowdiak向媒體表示,Reflection API經常導致Java 7出現漏洞,如果使用不當很容易引發安全問題。他還指責Oracle一直讓大眾以為這些遠端執行漏洞僅會影響到終端使用者,但該公司曾經證明這些漏洞同樣可以對Java伺服器進行攻擊。(編譯/沈經)
__________________
人性的醜陋就是,會在無權、無勢、善良的人身上挑毛病,卻在有權、有勢、缺德的人身上找優點。當無權、無勢、善良的人受到傷害的時候,還會站在所謂的道德制高點上,假惺惺地勸說無權、無勢、善良的人,一定要忍耐,一定要大度。 |
|
2013-04-25, 04:55 PM
#49
|
|
|
Silent Member
加入日期: Aug 2008 您的住址: 台灣
文章: 1
|
補洞的速度永遠來不及挖洞的速度
 甲骨文振作阿  |
|
2013-04-25, 05:26 PM
#50
|
|
