甲骨文漏洞曝光 揭秘Java安全的真相

安全 漏洞
关于Java的安全事件屡屡发生,黑客通过发现IE浏览器中Java插件的漏洞,在有漏洞的用户计算机中安装恶意软件。近日甲骨文发布了Java的一个紧急更新。由于一个严重漏洞的曝光,美国政府数天前建议PC用户暂时禁用Java,以免遭到黑客攻击。

关于Java的安全事件屡屡发生,黑客通过发现IE浏览器中Java插件的漏洞,在有漏洞的用户计算机中安装恶意软件。近日甲骨文发布了Java的一个紧急更新。由于一个严重漏洞的曝光,美国政府数天前建议PC用户暂时禁用Java,以免遭到黑客攻击。

但是通过Java,可以运行客户端桌面应用程序和向WEB浏览器拓展,这使得Java成为 了一枚定时炸弹,随时爆发安全隐患。

下面我来来盘点一下Java 安全的真相:

1、安全关注:客户端的Java

黑客往往利用Java在浏览器中的插件来攻击Java的客户端,甲骨文此次紧急更新解决了Java 7的两个漏洞,攻击者就是攻击了Java中的漏洞代码。黑客已经知道如何利用Java的一个漏洞去安装恶意软件,这可能导致个人信息泄露,或是使用户计算机成为僵尸网络中的一员。甲骨文表示,此次曝光的漏洞仅对Java 7有影响。

2、零日漏洞仍然是一个漏洞

Java使用非常广泛,已经成为黑客的主要攻击对象之一。去年Java使用率已超越Adobe公司的Reader软件,成为最易受黑客攻击的软件。Oracle此次发布的更新包含了安全漏洞CVE-2013-0422的补丁,同时也改变了默认的Java安全级别设置。任何未签名的Java Applet或Java Web Start应用程序运行时总是会被提示,这样可以防止恶意应用被下载,对用户来说这可能会带来的影响是需要多确认一下。

3、美国国土安全部建议:禁用Java

之前美国国土安全部称Java带来了风险,并建议用户关闭软件。尽管Oracle发布了一个Java漏洞的修复补丁,但该部门在当天更新的安全注意事项(security note)里仍表示,Java 7的_update11实际上可能没有限制特权代码的访问。禁用Java可以确保企业不受Java漏洞的侵害。

4、攻击者仍追捧Java漏洞的攻击

目前 Java 已经成为了黑客的主要攻击目标。根据卡巴斯基实验室的报告,超过半数的攻击都是针对 Java 发起的,Adobe Reader 软件占 28% 的“攻击份额”,Windows 系统和 IE 浏览器的份额则为 3%。

Java漏洞被网络攻击者追捧,而这里漏洞的攻击对罪犯非常有吸引力,因为可以通过Java漏洞来攻击可利用的目标。

5、限制Java的管理工具

到底是启用Java还是禁用Java?事实上,没有使用Java可以做到百分之百的安全。但是却可以降低被攻击的风险。例如通过完善网络架构,IT管理员加强网络保护等措施保护网络边界的安全。

针对企业的浏览器Java扩展,可以选用第三方的策略工具,提供了一个高层次的集中管理Java环境,这种集中管理应用程序还允许远程禁用Java,提高Java中执行的安全性能。

6、用Java进行基于浏览器的桌面应用程序开发

黑客找到了利用Java网络浏览器版本漏洞将恶意软件安装在PC上的方法,从而实施各种犯罪行为,从窃取身份证信息到利用受感染的电脑对网站发动广泛攻击。为了使企业更容易保护Java,甲骨文可能会推出不同类型的Java系列。一个快速的解决方法就是使企业能够在台式机上安装Java运行时环境,而无需安装浏览器扩展。

责任编辑:蓝雨泪 来源: 畅享网
相关推荐

2013-01-30 09:56:56

2013-06-03 14:39:01

2012-08-31 09:13:49

Java补丁

2010-02-08 16:44:43

2014-04-18 10:05:07

2011-01-19 11:51:39

2014-10-15 16:59:58

谷歌甲骨文Java

2011-10-09 11:30:16

OOW甲骨文云计算

2019-05-05 17:00:09

Java 甲骨文开发

2022-04-21 10:11:02

甲骨文漏洞Java

2013-12-24 12:54:15

甲骨文收购

2012-09-04 14:42:36

2013-08-19 11:25:43

IBM甲骨文EMC

2013-01-16 09:24:38

2011-03-11 13:09:13

2022-04-21 11:42:43

甲骨文漏洞

2010-08-17 10:42:03

甲骨文数据中心

2013-09-25 13:49:54

甲骨文

2011-09-01 09:31:56

LinuxJava

2013-08-30 10:39:47

谷歌甲骨文专利
点赞
收藏

51CTO技术栈公众号