Our Miss Brooks: Connie the Work Horse / Babysitting for Three / Model School Teacher
甲骨文周一发布了针对Java的紧急补丁,以解决两个关键漏洞,其中一个主动被黑客利用进行有针对性的攻击。<
这些漏洞被识别为CVE- 2013-1493和CVE-2013-0809)位于Java的2D组件中,并获得了Oracle最高的可能影响评分
“这些漏洞无需身份验证即可远程利用,即它们可能通过网络利用而不需要用户名和密码,“该公司在一份安全警报中表示。 “要使漏洞获得成功,在浏览器中运行受影响版本的毫无戒心的用户必须访问利用这些漏洞的恶意网页。 “
[更多阅读:如何从Windows PC删除恶意软件]新发布的更新将Java升级到版本7更新17(7u17)和6 Update 43(6u43),跳过了7u16和6u42,原因并不是很清楚。“Oracle注意到Java 6u43将成为Java 6的最新公开版本,并建议用户升级到Java 7。 Java 6更新的公共可用性应该会在2月19日发布的Java 6 Update 41中结束,但似乎该公司对此紧急补丁作了例外。
CVE-2013-1493漏洞已被因为至少在上周四,安全公司FireEye的研究人员发现了使用它来安装称为McRAT的远程访问恶意软件的攻击。但是,似乎甲骨文从2月初就已经意识到这个漏洞存在。“
虽然最近收到了主动利用漏洞CVE-2013-1493的报告,但是这个漏洞最初在2013年2月1日向Oracle报告,遗憾的是,太迟了,未能包含在2月19日发布的Java SE重要补丁更新中,“甲骨文公司软件保障主管Eric Maurice在一篇博客文章中表示,”该公司已计划修复CVE-2013- Maurice说,在4月16日下次预定的Java重要补丁更新中,但是,由于漏洞开始被攻击者利用,Oracle决定尽早发布补丁。
最新更新解决的两个漏洞不影响在服务器,独立Java桌面应用程序或嵌入式Java应用程序上运行的Java ,莫里斯说。他表示,建议用户尽快安装补丁。
如果用户不需要Web上的Java,用户可以从Java控制面板的安全选项卡中禁用对基于Web的Java内容的支持。默认情况下,此类内容的安全设置设置为高,这意味着系统会提示用户授权执行未签名的Java applet或在浏览器内部自签名。
这样做的目的是防止自动利用Java漏洞Web,但只有在用户能够作出关于哪些applet需要授权以及哪些不需要的知情决策时才有效。 “为了保护自己,桌面用户只有在他们期待这样的小程序并相信他们的起源时才应允许执行小程序,”Maurice说,“