Java最新版本再次曝出五項新漏洞
責(zé)編:admin |2014-12-04 19:15:30就在Java披露兩項安全漏洞的僅僅一周之后,一家波蘭安全企業(yè)再次發(fā)布報告,稱在Java最新版本中另外發(fā)現(xiàn)五項漏洞。在舊有漏洞的影響之下,攻擊者能夠利用新問題繞過Java的沙箱機制并安裝惡意軟件。
Security Explorations公司于本周一通知甲骨文,稱其Java SE 7 Update 15中存在大量安全漏洞。除了關(guān)于漏洞的細節(jié)信息之外,Security Explorations還提供了相關(guān)概念的驗證代碼。
甲骨文目前還沒有對此事發(fā)表評論。
該公司稱此次發(fā)現(xiàn)的幾項漏洞本身并不會引發(fā)安全問題;然而當(dāng)與之前曝出的其它隱患結(jié)合之后,它們就可能成為攻擊者的跳板、借以繞過Java所采用的反惡意沙箱技術(shù)。Security Explorations公司宣稱目前還沒有發(fā)現(xiàn)外界攻擊者使用這些漏洞的跡象。
此次最新漏洞報告與該公司上一次公布的安全聲明僅相隔一周,這兩次隱患報告指向的目標皆為甲骨文針對Java應(yīng)用在瀏覽器環(huán)境中的運行所推出的最新插件。
甲骨文公司于今年二月正式發(fā)布Java SE 7 Update 15,并于同月十九號緊急推出捆綁式補丁更新,旨在迅速修復(fù)當(dāng)時曝出的五項安全漏洞。根據(jù)計劃,下一次定期更新將于四月十六號進行。
今年二月二十五號甲骨文駁回了Security Explorations公司所提交的一項bug,后者旋即開展了最新一輪安全測試。“對方要求我們重新審查Java SE 7的代碼及其說明文檔,并進一步收集論據(jù)材料,”Security Explorations公司首席執(zhí)行長Adam Gowdiak在SecLists.org的一篇博文中表示。
此次提交的漏洞中有兩項可能還會波及Java SE 6,Gowdiak指出。“但由于各項漏洞只有在同時存在時才會真正給Java SE帶來安全問題,所以我們只將其列為Java SE 7的待處理隱患。”
在本月發(fā)布Java SE 7更新之時,甲骨文宣稱考慮到零日漏洞在過去一段時間內(nèi)被大規(guī)模利用所造成的嚴重負面影響,公司將縮短Java的補丁發(fā)布周期。目前仍有一項零日漏洞未得到這家軟件供應(yīng)商的修復(fù)。
“甲骨文公司的目的在于進一步加快Java修復(fù)補丁的發(fā)布速度,特別是幫助桌面瀏覽器中的Java Runtime Environment迅速恢復(fù)安全價值,”甲骨文公司軟件保障部門主管Eric Maurice在一篇博文中如是說。
甲骨文過去一直以四個月為周期提供Java更新。而在新規(guī)劃的指引下,安全更新周期將被縮短為兩個月。
幾個月以來,很多安全專家都在建議用戶禁用瀏覽器中的Java插件,因為這類程序平臺目前只存在于少數(shù)網(wǎng)站當(dāng)中。如果萬不得已必須要運行Java以迎合特定應(yīng)用時,專家建議大家利用單獨一款瀏覽器專門處理這類任務(wù)。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧