压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

　　就在Java披露兩項安全漏洞的僅僅一周之后，一家波蘭安全企業再次發布報告，稱在Java最新版本中另外發現五項漏洞。在舊有漏洞的影響之下，攻擊者能夠利用新問題繞過Java的沙箱機制并安裝惡意軟件。

　　Security Explorations公司于本周一通知甲骨文，稱其Java SE 7 Update 15中存在大量安全漏洞。除了關于漏洞的細節信息之外，Security Explorations還提供了相關概念的驗證代碼。

　　甲骨文目前還沒有對此事發表評論。

　　該公司稱此次發現的幾項漏洞本身并不會引發安全問題；然而當與之前曝出的其它隱患結合之后，它們就可能成為攻擊者的跳板、借以繞過Java所采用的反惡意沙箱技術。Security Explorations公司宣稱目前還沒有發現外界攻擊者使用這些漏洞的跡象。

　　此次最新漏洞報告與該公司上一次公布的安全聲明僅相隔一周，這兩次隱患報告指向的目標皆為甲骨文針對Java應用在瀏覽器環境中的運行所推出的最新插件。

　　甲骨文公司于今年二月正式發布Java SE 7 Update 15，并于同月十九號緊急推出捆綁式補丁更新，旨在迅速修復當時曝出的五項安全漏洞。根據計劃，下一次定期更新將于四月十六號進行。

　　今年二月二十五號甲骨文駁回了Security Explorations公司所提交的一項bug，后者旋即開展了最新一輪安全測試。“對方要求我們重新審查Java SE 7的代碼及其說明文檔，并進一步收集論據材料，”Security Explorations公司首席執行長Adam Gowdiak在SecLists.org的一篇博文中表示。

　　此次提交的漏洞中有兩項可能還會波及Java SE 6，Gowdiak指出。“但由于各項漏洞只有在同時存在時才會真正給Java SE帶來安全問題，所以我們只將其列為Java SE 7的待處理隱患。”

　　在本月發布Java SE 7更新之時，甲骨文宣稱考慮到零日漏洞在過去一段時間內被大規模利用所造成的嚴重負面影響，公司將縮短Java的補丁發布周期。目前仍有一項零日漏洞未得到這家軟件供應商的修復。

　　“甲骨文公司的目的在于進一步加快Java修復補丁的發布速度，特別是幫助桌面瀏覽器中的Java Runtime Environment迅速恢復安全價值，”甲骨文公司軟件保障部門主管Eric Maurice在一篇博文中如是說。

　　甲骨文過去一直以四個月為周期提供Java更新。而在新規劃的指引下，安全更新周期將被縮短為兩個月。

　　幾個月以來，很多安全專家都在建議用戶禁用瀏覽器中的Java插件，因為這類程序平臺目前只存在于少數網站當中。如果萬不得已必須要運行Java以迎合特定應用時，專家建議大家利用單獨一款瀏覽器專門處理這類任務。