甲骨文发布Java紧急更新补丁 专家称漏洞仍存在
北京时间 1 月 14 日消息,据国外媒体报道,在美国国土安全部(The Department of Homeland Security)警告电脑用户禁止使用甲骨文 Java 软件以免遭到黑客攻击后,甲骨文在当地时间周日发布了一个 Java 紧急更新补丁。
但是,过去数年一直致力于研究 Java 漏洞的波兰 Security Explorations 公司 Java 安全专家亚当-戈迪亚克(Adam Gowdiak)表示,“甲骨文的此次更新并没有解决数个严重的安全问题。
“我们到现在还不敢通知用户可以安全的使用 Java。”戈迪亚克说道。
甲骨文于当地时间周日在自己的安全博客中发布更新 ,宣布已经修复了 Java 7 中两个针对浏览器的漏洞。此外,甲骨文还将 Java 的默认安全设置上调至“高”,这增加了可疑程序不经用户许可而运行的难度。
Java 是一种电脑程序语言,能够让程序开发员利用代码编写软件,这种软件将能够在各种类型的电脑上运行,其中包括搭载微软 Windows、苹果 OS X 和 Linux 操作系统的电脑,普通电脑用户则可以通过在浏览器内使用 Java 插件来更好的访问网页内容。有分析师预计,目前全球范围内大约有超过 10 亿台设备安装了 Java 软件。
在当地时间周四,美国国土安全部以及部分安全专家曾警告称,黑客已经找到了利用安装了 Java 软件的浏览器在用户不知情的情况下安装恶意软件的方法。通过这一漏洞,黑客可以轻松盗窃用户个人信息,或使受感染的计算机成为僵尸广告网络中的一员。甲骨 文表示,此次曝光的漏洞仅对最新的 Java 7 版本有影响。
应该说,Java 的普及性恰恰是该软件成为黑客主要攻击目标的最主要原因。据安全软件厂商卡巴斯基实验室(Kaspersky Lab)公布的数据显示,甲骨文的 Java 已经成功超过 Adobe 公司的 Reader 成为被黑客攻击最频繁的软件。去年,大约有 50% 的黑客攻击都同 Java 有关, Adobe Reader 排名第二,占到了 28% 的份额,Windows 组件和 Internet Explorer 则占据了3% 的份额。
值得一提的是,美国国土安全部此前就曾发布警告称,黑客可以诱骗用户访问恶意网站,并借助 Java 软件漏洞感染用户的个人电脑,这种攻击还可以利用受感染电脑通过上传恶意软件的方式来感染合法网站。而且,黑客甚至可以通过这一漏洞感染用户信任的网站, 即便他们此前在访问这些网站时没有发现任何问题。
事实上,早在今年 8 月 Java 被爆出一个类似的安全漏洞后,安全专家就一直在审查 Java 的安全性。一些安全专家甚至建议用户,“只有在必要的时候才使用这一软件。”