甲骨文刚刚公布了Java SE 7u11更新。这次更新包含了安全漏洞CVE-2013-0422的补丁,该漏洞导致Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞,使得远程攻击者可以绕过java securityManager的检查远程执行任意java代码,进而控制用户系统。
不仅如此,甲骨文还改变了默认的Java安全级别设置,任何未签名的Java Applet或Java Web Start应用程序运行时总是会被提示,这样可以防止恶意应用被下载。这样做的影响是用户需要增加一步确认操作,但它能有效保护用户安全。
这是一周时间内甲骨文第二次修补Java漏洞。在上周四的时候,隶属国土安全部国家网络安全部门的Emergency Readiness团队发现Java7 Update 10上存在漏洞,该漏洞诱使用户访问特制的HTML文档,允许未经身份验证的远程攻击者在受害系统上执行任意代码,因此美国政府宣布暂停使用Java应用。随后Mozilla也宣布将最近的Java更新加入到了阻止列表里面,涵盖 Java 7 Update 9, Java 7 Update 10, Java 6 Update 37和Java 6 Update 38。甲骨文于上周六正式确定Java7中确实存在0-day漏洞,并在一天前修复该漏洞。
京公网安备 11010502049343号