甲骨文表示,Java SE的CPU原本預訂於今年2月19日才釋出,但由於其中一個漏洞已經受到利用,影響了桌面瀏覽器的JRE(Runtime Environment),因此決定提前進行更新。
此一更新程式修補了Java SE中的50個安全漏洞,其中有49個可能在未經授權的情況下被遠端攻擊,例如不需使用名稱或密碼即可入侵網路,此一更新影響了JDK/JRE 7 Update 11與先前的版本、JDK/JRE 6.0 Update 38、JDK/JRE 5.0 Update 38與先前的版本、SDK/JRE 1.4.2_40與先前的版本,JavaFX 2.2.4與先前的版本。
甲骨文軟體安全總監Eric Maurice則說明,在這50個安全漏洞中,有44個只影響瀏覽器中的Java部署,換句話說,這些漏洞只會透過Java Web Start程式或Java applet影響使用者的桌面。
Maurice亦強調,JRE在桌面瀏覽器上的普及,再加上瀏覽器上的Java與OS是各自獨立的,才讓Java成為駭客覬觎的目標。為了避免Java applet任意直接執行,甲骨文也把Java預設的安全等級提升到「高」(high),以允許瀏覽器用戶能在執行Java applet之前進行確認。
在甲骨文發表了Java SE的重大修補更新後,蘋果也隨之釋出OS X的Java更新,表示最新的Java版本已解決了先前外掛程式的安全問題。
沒有留言:
張貼留言