看板 Gossiping作者 chjimmy (張郎)標題 Fw: [情報] Java 7更新後立即又被發現新漏洞時間 Mon Sep 3 22:17:19 2012
※ [本文轉錄自 Browsers 看板 #1GHBl6L9 ]
看板 Browsers作者 chjimmy (張郎)標題 [情報] Java 7更新後立即又被發現新漏洞時間 Mon Sep 3 22:16:34 2012
http://www.ithome.com.tw/itadm/article.php?c=75967
Java 7更新後立即又被發現新漏洞
文/沈經 2012-09-03
有部分專家建議用戶退回到Java 6,理由是此波零時差漏洞都只影響到Java 7,而八月中
更新的Java 6 update 35只針對錯誤修正,已經沒有安全性問題。
今年四月間發現Java 7漏洞的波蘭資安公司Security Explorations執行長Adam Gowdiak
透過電子郵件向媒體表示,甲骨文在8/30釋出Java 7修補程式,當日傍晚他們只用兩三個
小時就找出漏洞。該漏洞如同先前的零時差攻擊中被利用的漏洞一樣,可以完全擺脫Java
的沙箱保護機制,可能導致Java用戶電腦遭駭客控制。
為避免駭客利用該漏洞,在甲骨文修補好漏洞之前,Security Explorations表示不會透
露該漏洞的相關資訊,但該公司仍建議使用者在甲骨文修補好漏洞之前解除安裝Java 7,
或者在瀏覽器中禁止使用。
甲骨文先前排定10月份釋出定期更新,但上週破例釋出緊急修補程式之後,沒有提到下一
次釋出更新的資訊。而甲骨文最近釋出的更新程式甚至還沒把Security Explorations公
司在四月時提出的29個漏洞修補完。
在各媒體的讀者回應中,許多使用者表示移除Java會影響到日常作業所使用的軟體。
有部分專家建議用戶退回到Java 6,理由是此波零時差漏洞都只影響到Java 7,而八月中
更新的Java 6 update 35只針對錯誤修正,已經沒有安全性問題。
麥金塔用戶中,Leopard(10.5)或Snow Leopard(10.6)僅可使用Java 6,而Lion(
10.7)與Mountain Lion(10.8)也可以參考甲骨文提供的方式轉用Java 6。
Adam Gowdiak也對媒體表示,他們對Java 7如此容易被攻陷感到訝異,而Java 6他們僅在
Quicktime的功能中發現過能跳脫沙箱控制的漏洞。(編譯/沈經)
原來先前的更新只是表象罷了...?
--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 118.168.227.77
※ 發信站: 批踢踢實業坊(ptt.cc)
※ 轉錄者: chjimmy (118.168.227.77), 時間: 09/03/2012 22:17:19
→ if2:還好我用PCMan3F 09/03 22:19
噓 previa:MAC電腦哭哭6F 09/03 22:20
噓 aaagang:賣給google吧,別想拿這個坑錢了7F 09/03 22:22
推 cmj:還好我都用微軟的JRE9F 09/03 22:24
推 yoyodiy:甲骨文這種小公司應該沒辦法維護Java這種大案子吧趁早賣掉10F 09/03 22:25
→ yoyodiy:還能有好價錢 給微軟 FB這種大公司來做漏洞會少一點12F 09/03 22:25
推 wljimkk:甲骨文不算小公司吧...13F 09/03 22:28
→ jonneth:甲骨文怎麼會是小公司= = 明明就是跟微軟一樣自傲開始擺爛14F 09/03 22:29
噓 SRNOB:甲骨文這種小公司?? 我笑了15F 09/03 22:29
噓 diablo3:甲骨文@一間專門收購別人後擺爛的公司= ="
話說,還有不少新警察不認識某人,他老在那反串還一直能釣一堆人XDD17F 09/03 22:31
→ ilanese:不能賣錢的,通常會擺爛~~20F 09/03 22:44
--