5

今天,我们的企业架构师提到最近在 JRE 1.7 中发现了一个漏洞。我发现一篇文章JRE 1.7 漏洞建议禁用 Java

我在工作中运行 JDK 1.5 和 1.6(像许多组织一样,我们不是最新的技术),所以没有问题。

在家里,我正在使用 Java SE 7u6 进行开发。我正在玩 Grails,Spring Security,试图继续学习。

我已经在我的家庭开发机器上的所有浏览器中禁用了 Java 插件。但是,有谁知道我的家用开发机器是否由于安装了 JDK 7 仍然容易受到攻击?我确实在 US-CERT 上找到了这篇声明漏洞通知的文章:Oracle Java JRE 1.7 Expression.execute() failed to restrict access to privileged code

听起来只要浏览器不能运行小程序,我应该没问题(它不应该禁用 Java 插件)。但是,Java Web Start/JNLP 呢?可以调用吗?这是我唯一能想到的,除了小程序,可能会引起关注。

只是想知道我是否需要努力卸载我的 Java SE 7 并退回到 JDK6。

其他人在得知 JRE 1.7 的这个安全问题后做了什么?

4

2 回答 2

3

最新漏洞的详细信息尚未公开。但是,我的理解是它只影响 Java 浏览器插件。建议的缓解措施是禁用 Java 浏览器插件。没有提到非插件 Java,所以我认为可以安全地假设您的开发机器仅仅因为安装了 Java 7 而不会受到攻击。

但是,Java Web Start/JNLP 呢?可以调用吗?

我不这么认为。我认为可以安全地假设发现问题的人会想到潜在的攻击媒介。(但简单的常识表明,您一开始就不想启动随机 JNLP 程序......)

于 2012-08-29T02:02:40.887 回答
1

我理解这就像您必须访问恶意网站才能被感染一样。所以不,仅仅因为在浏览器中安装了 Java 7,您就不会面临风险。

一些有用的链接:

  • 解释漏洞的 US-CERT 链接:

http://www.kb.cert.org/vuls/id/636312



  • Oracle 链接到他们的安全警报(不仅是 Java,还包括 Java):

http://www.oracle.com/technetwork/topics/security/alerts-086861.html



在撰写本文时(2012 年 8 月 30 日),我看不到 Oracle 尚未为此发出警报。我真的不知道他们是否只在创建补丁后才发出此类警报。根据 US-CERT 网站,甲骨文于 2012 年 8 月 29 日正式收到警报,但他们可能已经知道这一点,因为有关该漏洞的博客报道是在 29 日前几天开始的。

您可以在 Oracle 网站上看到,下一个计划中的“Java SE 重要补丁更新”是在 2012 年 10 月 16 日。他们肯定不会等到那个时候,而是尽快为这个漏洞发布一个带外补丁。(他们以前这样做过)

于 2012-08-30T10:46:47.873 回答