?就在Java披露兩項(xiàng)安全漏洞的僅僅一周之后，一家波蘭安全企業(yè)再次發(fā)布報(bào)告，稱在Java最新版本中另外發(fā)現(xiàn)五項(xiàng)漏洞。在舊有漏洞的影響之下，***者能夠利用新問題繞過Java的沙箱機(jī)制并安裝惡意軟件。

Security Explorations公司于本周一通知甲骨文，稱其Java SE 7 Update 15中存在大量安全漏洞。除了關(guān)于漏洞的細(xì)節(jié)信息之外，Security Explorations還提供了相關(guān)概念的驗(yàn)證代碼。

甲骨文目前還沒有對(duì)此事發(fā)表評(píng)論。

該公司稱此次發(fā)現(xiàn)的幾項(xiàng)漏洞本身并不會(huì)引發(fā)安全問題;然而當(dāng)與之前曝出的其它隱患結(jié)合之后，它們就可能成為***者的跳板、借以繞過Java所采用的反惡意沙箱技術(shù)。Security Explorations公司宣稱目前還沒有發(fā)現(xiàn)外界***者使用這些漏洞的跡象。

此次最新漏洞報(bào)告與該公司上一次公布的安全聲明僅相隔一周，這兩次隱患報(bào)告指向的目標(biāo)皆為甲骨文針對(duì)Java應(yīng)用在瀏覽器環(huán)境中的運(yùn)行所推出的最新插件。

甲骨文公司于今年二月正式發(fā)布Java SE 7 Update 15，并于同月十九號(hào)緊急推出捆綁式補(bǔ)丁更新，旨在迅速修復(fù)當(dāng)時(shí)曝出的五項(xiàng)安全漏洞。根據(jù)計(jì)劃，下一次定期更新將于四月十六號(hào)進(jìn)行。

今年二月二十五號(hào)甲骨文駁回了Security Explorations公司所提交的一項(xiàng)bug，后者旋即開展了最新一輪安全測(cè)試。“對(duì)方要求我們重新審查Java SE 7的代碼及其說明文檔，并進(jìn)一步收集論據(jù)材料，”Security Explorations公司首席執(zhí)行長(zhǎng)Adam Gowdiak在SecLists.org的一篇博文中表示。

此次提交的漏洞中有兩項(xiàng)可能還會(huì)波及Java SE 6，Gowdiak指出。“但由于各項(xiàng)漏洞只有在同時(shí)存在時(shí)才會(huì)真正給Java SE帶來安全問題，所以我們只將其列為Java SE 7的待處理隱患。”

在本月發(fā)布Java SE 7更新之時(shí)，甲骨文宣稱考慮到零日漏洞在過去一段時(shí)間內(nèi)被大規(guī)模利用所造成的嚴(yán)重負(fù)面影響，公司將縮短Java的補(bǔ)丁發(fā)布周期。目前仍有一項(xiàng)零日漏洞未得到這家軟件供應(yīng)商的修復(fù)。

“甲骨文公司的目的在于進(jìn)一步加快Java修復(fù)補(bǔ)丁的發(fā)布速度，特別是幫助桌面瀏覽器中的Java Runtime Environment迅速恢復(fù)安全價(jià)值，”甲骨文公司軟件保障部門主管Eric Maurice在一篇博文中如是說。

甲骨文過去一直以四個(gè)月為周期提供Java更新。而在新規(guī)劃的指引下，安全更新周期將被縮短為兩個(gè)月。

幾個(gè)月以來，很多安全專家都在建議用戶禁用瀏覽器中的Java插件，因?yàn)檫@類程序平臺(tái)目前只存在于少數(shù)網(wǎng)站當(dāng)中。如果萬不得已必須要運(yùn)行Java以迎合特定應(yīng)用時(shí)，專家建議大家利用單獨(dú)一款瀏覽器專門處理這類任務(wù)。

轉(zhuǎn)載于:https://blog.51cto.com/lvcaoyu/1149836

總結(jié)

以上是生活随笔為你收集整理的Java最新版本中另外发现五项漏洞的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。