科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全甲骨文针对Java 7发布零天漏洞更新

甲骨文针对Java 7发布零天漏洞更新

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本文介绍了甲骨文针对Java 7发布零天漏洞更新的相关消息,安全专家建议用户在安装补丁程序之前停用Java,该漏洞使得黑客能够在系统中远程登录并执行任意代码。

来源:TechTarget中国 2013年1月16日

关键字: 甲骨文 Java漏洞 黑客攻击

  • 评论
  • 分享微博
  • 分享邮件

甲骨文公司昨日发布了两个针对Java零天(zero day)漏洞的带外(out-of-band)安全更新,其中漏洞CVE-2013-0422在发现当天就已被攻击,并已经添加到了Blackhole和Nuclear Pack开发套件两款软件当中。

安全专家建议用户在安装补丁程序之前停用Java,该漏洞使得黑客能够在系统中远程登录并执行任意代码。

另外一个漏洞是CVE-2012-3174,通过远程攻击,黑客能够将用户导向一个恶意站点。

在官方博客中,甲骨文公司称这两个漏洞只影响Web浏览器下的Java 7用户,而对于服务期端、桌面应用端以及嵌入式设备的Java用户则没有影响。甲骨文官方建议用户尽快安装补丁更新程序。

除CVE-2013-0422和CVE-2012-3174漏洞更新之外,甲骨文还将Java的默认安全级别设置为“高”,也就是说用户需要对任何自签名和未签名的应用程序进行授权才能够运行。

甲骨文官方称,这样做的目的是,在应用程序运行之前,受信任用户访问恶意网站的行为都会得到提示。与此同时,系统对恶意程序也将拒绝执行。

作为最受欢迎的编程语言,Java的各种插件也是黑客最泛滥的领域,他们往往通过恶意网站来进行偷渡式下载攻击(drive-by download attack)。而根据最新的调查显示,偷渡式下载攻击在2013年仍然是最常用的黑客攻击手段。

甲骨文公司的季度安全补丁更新将在北京时间1月16日发布,而本次的带外安全更新是在季度安全补丁更新之前发布。据悉,本次更新将包含86个补丁程序,涵盖大量的Oracle软件产品。其中MySQL数据库更新共18个,有2个MySQL漏洞能够让黑客在无需用户名和密码的情况下进行远程攻击。更多关于Oracle安全更新的信息,敬请关注TechTarget中国的后续报道。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章