java - Java Plug-In 发布更改以响应最近的安全漏洞

Question

针对最近的安全漏洞，Oracle 如何改变用户的 Java 插件启动体验？

细节

• SO的JRE 1.7 漏洞问答。
• 针对 CVE-2013-0422 的 Oracle 安全警报
• 禁用 Java 警告外观和对 Java Web Start 应用程序的影响

Answer 1

简短的回答

现在，在加载之前会提示所有受信任或沙盒的小程序（要求用户许可）。

长答案

在这里，我正在使用 Oracle 自己的Test Java小程序进行测试。之所以选择它，是因为它相对较小、沙盒，并且由我们正在测试的同一 JRE/插件的制造商提供。

今天早上，我有机会将 Java 1.7.0_11 升级到 1.7.0_13。

虽然安全漏洞在 1.7.0_11 中已修复，但 FF 和 Chrome 仍显示警告，如已禁用 Java 警告外观和影响 Java Web Start 应用程序中所示。

火狐

随着 1.7.0_13 的推出，事情似乎又发生了变化。现在，浏览器（本身）不再警告用户，而是出现这样的 JRE 警告：

选择Run查看：

Do not show this again for this app附带说明：左下角的那条信息在过去几乎没有影响。现在在这种情况下，它似乎可以在关闭和重新启动的浏览器以及不同的浏览器之间工作。欢呼！

所以建议你的用户“检查一下”..

IE浏览器

拥有类似 FF 的体验，但忽略了其他浏览器中永久允许的权限。

铬合金

Chrome 似乎仍在显示它对 1.7.0_11 所做的初始警告。

然后，一旦获得批准，就会转到 FF 所见的 Oracle/Plug-In 提示。