Oracle于周二发布了新的Java安全更新,并宣布计划在最近发生的攻击之后加速发布未来的Java修补程序通过利用Java浏览器插件中的零日漏洞,已感染计算机中的恶意软件。
新的更新Java 7 Update 15和Java 6 Update 41解决了另外5个漏洞,这些漏洞无法包含在紧急Java更新中由于时间限制,Oracle于2月1日发布。当时,甲骨文公司打破了原计划的4个月Java补丁周期,以修补被黑客积极利用的漏洞。
星期二更新中解决的五个漏洞中的四个可以通过Java Web Start Oracle软件保障总监Eric Maurice周二在一篇博客文章中称:“进一步阅读:如何从Windows PC中移除恶意软件”
这四个漏洞中的三个获得了通用漏洞评分系统规模的最高评分 - 这意味着它们非常关键,可以被利用来彻底危害Java以管理员权限运行的系统的机密性,完整性和可用性,例如Windows XP。 Maurice说,在Java不能以管理权限运行的系统(如Linux或Solaris)上,影响较小,第五个漏洞影响Java安全套接字扩展(JSSE)的服务器部署并源自Lucky Thirteen攻击针对安全研究人员本月早些时候披露的SSL / TLS实现即使新的Java 6 Update 41可从Oracle网站下载,但它不能从Java.com获得,必须手动获取。 Java 6安装中的更新功能将提示用户下载并安装Java 7 Update 15.
这是Oracle计划中的一项举措,甲骨文此前曾在其网站上宣布它将“开始自动更新所有Windows 32位用户JRE 6到JRE 7,并将于2013年2月发布Java更新版本Java SE 7 Update 15(Java SE 7u15)。“
Oracle将加快Java的修补周期。 “Oracle的意图是继续加快Java修订的发布速度,特别是帮助解决桌面浏览器中Java运行时环境(JRE)的安全性问题,”Maurice说,“下一次计划的Java SE重要补丁更新将将于4月16日发布,两个月后即可发布,而不是四个,并且将与Oracle非Java产品的重要补丁更新同时发布。之后的下一个Java补丁更新计划于6月18日发布。
