Understand OS series | Part 1 | Operating system overview | SystemAC
目录:
最新更新原定于2月份发布19,包含49个瑕疵的50个安全修复程序,可在未经授权的情况下远程利用。这意味着它们可以在不知道用户名和密码的情况下在网络上使用。
甲骨文表示,它提前更新,因为更新中解决的漏洞之一已被野外利用。
[更多阅读:如何从Windows PC中删除恶意软件]
“由于成功攻击造成的威胁,Oracle强烈建议客户尽快应用CPU修复程序,”该公司在一份更新公告中警告说。在美国国土安全部计算机应急准备小组(US-CERT)推荐该软件因其安全问题而被其所有用户禁用后,在1月份为Java提供安全修复。这些问题涉及网络犯罪分子创建的工具包利用Zero Day漏洞,并用于窃取计算机中的敏感信息。即使在发布修复程序Java 7 update 11后,该机构仍建议关闭Java,除非使用它是绝对的必要的。
7u11修复已经错过了它的标记,这很快就变得明显。在发布黑客数日后,黑客开始在网上黑市销售一对新的Java零日漏洞,每个漏洞售价5000美元。
也许缺乏找到漏洞的技术的其他黑客开始利用有关Java的困境的头条新闻网络钓鱼探险提供甲骨文编程语言的虚假更新。在用户安装后,伪更新安装了一个后门,让系统允许黑客控制它。
更新中发现的缺陷
Java的不幸在本月晚些时候继续进行,安全探索是一家波兰安全公司,在查找Java安全漏洞的历史中,发现了7u11更新中的新漏洞,可以利用这些漏洞避免程序的沙箱 - 一种编程技术,用于隔离恶意代码对系统可能造成的损害。“
”这些问题将持续直到Oracle修复沙箱为止,“Bitdefender高级电子威胁分析师Bogdan Botezatu在接受采访时表示,
Botezatu对Oracle在7u11更新中依靠用户维护安全性的程度表示批评
例如,更新默认情况下,设置Java的最高安全级别。在这个级别上,只要一个未签名的Java applet试图在浏览器中运行,就会弹出警告提醒用户应用程序可能是危险的,并且用户应该自己承担风险。
通常,用户忽略这样的警告,因为他们发现他们很烦人。对于在网上玩Java游戏的孩子来说尤其如此 - Botezatu指出,事实上,数字毁灭者并不会迷失。 “我已经看到很多网站在针对儿童的关键字优化过的页面上运行Java恶意软件,”他说,“通过最新的Java更新,Oracle可能试图通过该计划改变运气。它似乎在其编号方案中跳过了更新12,并指定了最新的修订包Java 7 update 13.