java安全漏洞
最新的Java安全更新 (一个新的季度周期的第一个) 已修补了51个漏洞 。 到目前为止,Java的官方补丁发布计划是一年三次,尽管危险的 零日漏洞的 出现迫使Oracle 在过去的十二个月中 发布了两个周期外的 紧急补丁 。
在此更新中修复 的 51个Java漏洞 中,除一个 漏洞外 ,所有 漏洞 都可以远程利用,而不需要用户名和密码,并且给12个 漏洞 提供了最大的 CVSS 评分10/10。
与大多数引人注目的Java漏洞一样,几乎所有目标浏览器Java applet都是如此,因此安全顾问继续建议用户禁用浏览器插件(或者,如果可能的话,将其完全删除)。 但是, 安全公司Qualys指出 51的两个“高度严重”漏洞也可能适用于服务器安装。
新时间表与Oracle的季度关键补丁更新(CPU)公告一致,该公告还涵盖了该公司的其他软件。 VirtualBox,MySQL Server和GlassFish是本周已收到安全更新的许多其他应用程序。
上个月,趋势科技 强调了新一波的攻击者 ,他们利用了Java本机层的弱点。 尽管很难实现,但对此类漏洞利用的了解似乎已广为传播,并带来了非常危险的结果-渗透本机层允许执行任意代码。
在 Sophos Naked Security博客上 ,研究员Chester Wisniewski称赞这一举动有一个更常规的周期,但表示这还不够常规-尤其是因为Microsoft和Adobe为他们的浏览器插件提供每月补丁。
Wisniewski总结道:“将奖品放在您大厅的架子上,出售一千万美元的船,并雇用工程师用剩余的现金将Java补丁周期更新到每月一次,”他说,这是Oracle 最近获得的美洲杯冠军 。 “超过3亿台设备将感谢您。”
翻译自: https://jaxenter.com/51-holes-plugged-in-latest-java-security-update-106909.html
java安全漏洞