java 框架 漏洞 修补
在上周末,Oracle终于屈服于对Java SE安全漏洞日益负面的报道,发布了旨在修复所有未解决问题的紧急补丁。 尽管几乎无法弥补几个月来无视安全研究人员的警告,但它至少让批评家( 像我们这样 )沉默了,他们担心在被定于10月的下一次安全更新之前它会被忽略。
不幸的是,看来这还不够。 Security Explorations的Adam Gowdiak上周透露Oracle自4月份以来就没有对已知的漏洞采取行动,通过在Bugtraq邮件列表上透露“并非2012年4月报告的所有安全问题都得到了解决,最近的Java更新”。
今天,我们向Oracle发送了一个安全漏洞报告以及概念证明代码。 该代码成功演示了最新Java SE软件(2012年8月30日发布的版本7 Update 7)环境中的完整JVM沙箱绕过。 其原因是发现了一个新的安全问题,这使得再次利用我们一些尚未解决的错误成为可能。
因此,如果Gowdiak的指控是合理的,那么Java似乎仍然没有安全感。 这本身就够糟糕的,但由于Oracle未能承认而变得更加糟糕。
在Ars Technica上,Dan Goodin 报告说,该公司通过将其引向周四的安全公告(是在此最新消息爆发之前发布的)来回应置评请求( 更新:我们收到了相同的回复)。 同时,在帖子的评论中,读者争论了卸载Java是否是必要的保护措施。
那么一周后,取得了什么成就? 似乎很少:Oracle仍无法与(可理解的)担心的用户互动,并且在安装Java的情况下进行浏览仍然可能不安全。 但是这次情况更加糟糕,因为要说服普通用户在这么短的时间内下载两个更新将是一个巨大的挑战。
从我们的角度来看,Oracle需要采取两种措施:将自动更新的安全机制烘烤到Java中,并至少每周更新一次; 同样重要的是,对这些问题要诚实和透明-在负面新闻蔓延到技术社区泡沫之外之前。
java 框架 漏洞 修补
