JRE 1.7漏洞
今天,我们的企业架构师提到最近在JRE 1.7中发现了一个漏洞。 我发现了一篇JRE 1.7漏洞,建议禁用Java 。
我正在运行JDK 1.5和1.6(像许多组织一样,我们没有使用最新的技术),所以没有问题。
在家里,我正在使用Java SE 7u6进行开发。 我正在玩Grails,Spring Security,试图继续学习。
我已经在家庭开发机器上的所有浏览器中删除并禁用了Java Plug-in。 但是,有没有人知道我的家用开发机器是否因安装了JDK 7而仍然易受攻击? 我确实在US-CERT上发现了这篇文章,声明了漏洞通知: Oracle Java JRE 1.7 Expression.execute()无法限制对特权代码的访问 。
听起来只要浏览器无法运行Applet,我应该没问题(它应该禁用Java Plug-in)。 但是,Java Web Start / JNLP呢? 可以调用吗? 除了小应用程序之外,这是我能想到的唯一可能引起关注的问题。
只是想知道我是否需要完成卸载Java SE 7并退回到JDK6的工作。
在使用JRE 1.7了解此安全问题后,其他人做了什么?
最新漏洞的详细信息尚未公布。 但是,我的理解是它只影响Java浏览器插件。 建议的缓解措施是禁用Java浏览器插件。 没有提到非插件Java,所以我认为可以安全地假设您的开发机器仅仅因为安装了Java 7而不易受攻击。
但是,Java Web Start / JNLP呢? 可以调用吗?
我不这么认为。 我认为可以安全地假设发现问题的人会想到这个潜在的攻击向量。 (但简单的常识说你不想首先推出随机的JNLP程序……)
我理解,好像你必须访问恶意网站才能被感染。 所以不,只是因为在浏览器中安装了Java 7,您就不会有风险。
一些有用的链接:
- 解释漏洞的US-CERT链接:
http://www.kb.cert.org/vuls/id/636312
- Oracle链接到他们的安全警报(不仅包括Java,还包括Java):
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
截至撰写时(2012年8月30日),我无法看到甲骨文尚未发出警报。 我无法确定他们是否仅在创建补丁后发出此类警报。 根据US-CERT网站,甲骨文于2012年8月29日正式收到警报,但他们可能已经知道这一点,因为有关该漏洞的博客报告是在29日前几天开始的。
您可以在Oracle网站上看到的是,下一次计划的“Java SE重要补丁更新”将于2012年10月16日发布。当然,他们不会等待,但会尽快发布针对此漏洞的带外补丁。 (他们以前这样做过)