甲骨文釋出Java 7 Update 21,修補42個安全漏洞
iThome(網址:http://www.ithome.com.tw/itadm/article.php?c=79835)
在42個安全更新中有39個漏洞允許遠端攻擊,其中有19個漏洞被評為CVSS 2.0最嚴重程度的10分。甲骨文強烈建議用戶儘快部署Java 7 Update 21。
甲骨文調整了原本只在2月、6月及10月的Java更新周期,在本周二(4/16)發表重大修補更新(Critical Patch Update,CPU),釋出Java 7 Update 21,以修補42個Java安全漏洞。
Java 7 Update 21提供了包含安全性及非安全性的更新,在42個安全更新中有39個漏洞允許遠端攻擊,例如不需要使用者名稱或密碼便能透過網路攻擊的漏洞。
甲骨文以CVSS 2.0 (Common Vulnerability Scoring System) 評等漏洞的嚴重程度,從0.0到10.0分,10分代表最危急,其中有19個漏洞被評為10分。甲骨文強烈建議用戶儘快部署Java 7 Update 21。
另外甲骨文也改變了Java 7 Update 21中的安全控制功能,當使用者要透過瀏覽器執行任何Java程式時都會跳出警告視窗要求使用者確認。訊息的內容將會依據Java程式的風險等級而有所不同。若是低風險等級的Java程式只會出現簡單的提醒並允許使用者存取更多資訊,而高風險等級的程式意味著該程式未經CA認證或使用無效認證。
因此,甲骨文鼓勵Java程式開發人員應該要取得可靠認證機構(Certificate Authority,CA)對程式的數位憑證,以協助使用者判斷是否該執行Java程式,該憑證主要是用來證明開發人員的身份及與程式之間的連結。
甲骨文指出,透過瀏覽器執行的Java受到駭客青睞並成為攻擊目標,數位憑證的設計將可強制開發人員為這些程式的安全性負責。
今年Java漏洞頻傳並殃及微軟、蘋果及Facebook等業者,讓甲骨文於今年2月緊急更新Java,並導致蘋果在Safari瀏覽器中封鎖Java,同時引起外界的一片撻伐聲浪,才促成甲骨文本周於原本的周期外發表Java的重大修補更新。
沒有留言 :
張貼留言