科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全甲骨文漏洞曝光 揭秘Java安全的真相

甲骨文漏洞曝光 揭秘Java安全的真相

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

关于Java的安全事件屡屡发生,黑客通过发现IE浏览器中Java插件的漏洞,在有漏洞的用户计算机中安装恶意软件。近日甲骨文发布了Java的一个紧急更新。由于一个严重漏洞的曝光,美国政府数天前建议PC用户暂时禁用Java,以免遭到黑客攻击。

来源:畅享网 2013年1月21日

关键字:

  • 评论
  • 分享微博
  • 分享邮件

关于Java的安全事件屡屡发生,黑客通过发现IE浏览器中Java插件的漏洞,在有漏洞的用户计算机中安装恶意软件。近日甲骨文发布了Java的一个紧急更新。由于一个严重漏洞的曝光,美国政府数天前建议PC用户暂时禁用Java,以免遭到黑客攻击。

但是通过Java,可以运行客户端桌面应用程序和向WEB浏览器拓展,这使得Java成为 了一枚定时炸弹,随时爆发安全隐患。

下面我来来盘点一下Java 安全的真相:

1、安全关注:客户端的Java

黑客往往利用Java在浏览器中的插件来攻击Java的客户端,甲骨文此次紧急更新解决了Java 7的两个漏洞,攻击者就是攻击了Java中的漏洞代码。黑客已经知道如何利用Java的一个漏洞去安装恶意软件,这可能导致个人信息泄露,或是使用户计算机成为僵尸网络中的一员。甲骨文表示,此次曝光的漏洞仅对Java 7有影响。

2、零日漏洞仍然是一个漏洞

Java使用非常广泛,已经成为黑客的主要攻击对象之一。去年Java使用率已超越Adobe公司的Reader软件,成为最易受黑客攻击的软件。Oracle此次发布的更新包含了安全漏洞CVE-2013-0422的补丁,同时也改变了默认的Java安全级别设置。任何未签名的Java Applet或Java Web Start应用程序运行时总是会被提示,这样可以防止恶意应用被下载,对用户来说这可能会带来的影响是需要多确认一下。

3、美国国土安全部建议:禁用Java

之前美国国土安全部称Java带来了风险,并建议用户关闭软件。尽管Oracle发布了一个Java漏洞的修复补丁,但该部门在当天更新的安全注意事项(security note)里仍表示,Java 7的_update11实际上可能没有限制特权代码的访问。禁用Java可以确保企业不受Java漏洞的侵害。

4、攻击者仍追捧Java漏洞的攻击

目前 Java 已经成为了黑客的主要攻击目标。根据卡巴斯基实验室的报告,超过半数的攻击都是针对 Java 发起的,Adobe Reader 软件占 28% 的“攻击份额”,Windows 系统和 IE 浏览器的份额则为 3%。

Java漏洞被网络攻击者追捧,而这里漏洞的攻击对罪犯非常有吸引力,因为可以通过Java漏洞来攻击可利用的目标。

5、限制Java的管理工具

到底是启用Java还是禁用Java?事实上,没有使用Java可以做到百分之百的安全。但是却可以降低被攻击的风险。例如通过完善网络架构,IT管理员加强网络保护等措施保护网络边界的安全。

针对企业的浏览器Java扩展,可以选用第三方的策略工具,提供了一个高层次的集中管理Java环境,这种集中管理应用程序还允许远程禁用Java,提高Java中执行的安全性能。

6、用Java进行基于浏览器的桌面应用程序开发

黑客找到了利用Java网络浏览器版本漏洞将恶意软件安装在PC上的方法,从而实施各种犯罪行为,从窃取身份证信息到利用受感染的电脑对网站发动广泛攻击。为了使企业更容易保护Java,甲骨文可能会推出不同类型的Java系列。一个快速的解决方法就是使企业能够在台式机上安装Java运行时环境,而无需安装浏览器扩展。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章