甲骨文公司昨日发布了两个针对Java零日(zero day)漏洞的带外(out-of-band)安全更新,其中漏洞CVE-2013-0422在发现当天就已被攻击,并已经添加到了Blackhole和Nuclear Pack开发套件两款软件当中。
安全专家建议用户在安装补丁程序之前停用Java,该漏洞使得黑客能够在系统中远程登录并执行任意代码。
另外一个漏洞是CVE-2012-3174,通过远程攻击,黑客能够将用户导向一个恶意站点。
在官方博客中,甲骨文公司称这两个漏洞只影响Web浏览器下的Java 7用户,而对于服务器端、桌面应用端以及嵌入式设备的Java用户则没有影响。甲骨文官方建议用户尽快安装补丁更新程序。
除CVE-2013-0422和CVE-2012-3174漏洞更新之外,甲骨文还将Java的默认安全级别设置为“高”,也就是说用户需要对任何自签名和未签名的应用程序进行授权才能够运行。
甲骨文官方称,这样做的目的是,在应用程序运行之前,受信任用户访问恶意网站的行为都会得到提示。与此同时,系统对恶意程序也将拒绝执行。
作为最受欢迎的编程语言,Java的各种插件也是黑客最泛滥的领域,他们往往通过恶意网站来进行偷渡式下载攻击(drive-by download attack)。而根据最新的调查显示,偷渡式下载攻击在2013年仍然是最常用的黑客攻击手段。
甲骨文公司的季度安全补丁更新将在北京时间1月16日发布,而本次的带外安全更新是在季度安全补丁更新之前发布。据悉,本次更新将包含86个补丁程序,涵盖大量的Oracle软件产品。其中MySQL数据库更新共18个,有2个MySQL漏洞能够让黑客在无需用户名和密码的情况下进行远程攻击。更多关于Oracle安全更新的信息,敬请关注后续报道。