今天,我们的Enterprise Architect提到最近在JRE 1.7中发现了一个漏洞。我发现了一篇JRE 1.7 vulnerability recommending disabling Java的文章。
我正在运行JDK 1.5和1.6(就像许多组织一样,我们没有使用最新的技术),所以没有问题。
在家里,我正在使用Java SE 7u6进行开发。我正在玩Grails,Spring Security,试图继续学习。
我已经离开并在我的家庭开发机器上的所有浏览器中禁用了Java Plug-in。但是,有没有人知道我的家用开发机器是否因安装了JDK 7而仍然易受攻击?我确实发现这篇关于US-CERT声明漏洞通知的文章:Oracle Java JRE 1.7 Expression.execute() fails to restrict access to privileged code。
听起来只要浏览器无法运行Applet,我应该没问题(禁止使用Java Plug-in)。但是,Java Web Start / JNLP呢?可以调用吗?除了Applets之外,这是我能想到的唯一可能引起关注的事情。
只是想知道我是否需要完成卸载Java SE 7并退回到JDK6的工作。
在了解JRE 1.7的此安全问题后,其他人做了什么?
答案 0 :(得分:3)
最新漏洞的详细信息尚未公开。但是,我的理解是它只影响Java浏览器插件。建议的缓解措施是禁用Java浏览器插件。没有提到非插件Java,所以我认为可以安全地假设你的开发机器只是因为安装了Java 7而不易受攻击。
然而,Java Web Start / JNLP怎么样?可以调用吗?
我不这么认为。我认为可以安全地假设发现问题的人会想到那个潜在的攻击媒介。 (但简单的常识说你不想首先推出随机的JNLP程序......)
答案 1 :(得分:1)
我理解,好像你必须访问恶意网站才能被感染。所以不,只是因为在浏览器中安装了Java 7,你就不会有风险。
一些有用的链接:
http://www.kb.cert.org/vuls/id/636312
http://www.oracle.com/technetwork/topics/security/alerts-086861.html
截至撰写时(2012年8月30日)我无法看到甲骨文尚未针对此发出警报。我无法弄清楚他们是否仅在创建补丁后发出此类警报。根据US-CERT网站,甲骨文于2012年8月29日正式收到警报,但他们可能已经知道这一点,因为有关该漏洞的博客报告是在29日前几天开始的。
您可以在Oracle网站上看到的是,下一次计划的“Java SE重要补丁更新”将于2012年10月16日发布。当然,他们不会等待,但会尽快发布针对此漏洞的带外补丁。 (他们之前已经这样做了)