Security JRE 1.7漏洞
今天,我们的企业架构师提到最近在JRE 1.7中发现了一个漏洞。我在报纸上找到一篇文章 我在工作中运行JDK1.5和1.6(与许多组织一样,我们不使用最新的技术),因此没有问题 在家里,我正在用JavaSE7U6进行开发。我在玩Grails,Spring Security,努力学习 我已经在我的家用开发机器上禁用了所有浏览器中的Java插件。然而,有人知道我的家用开发机器是否由于安装了JDK 7而仍然易受攻击吗?我确实在US-CERT上找到了这篇文章,其中声明了漏洞通知: 听起来好像只要浏览器不能运行小程序,我就没事了(不应该禁用Java插件)。但是,JavaWebStart/JNLP呢?这能被调用吗?除了applet之外,这是我能想到的唯一一件可能值得关注的事情 只是想知道我是否需要卸载JavaSE7并返回JDK6Security JRE 1.7漏洞,security,java,java-7,Security,Java,Java 7,今天,我们的企业架构师提到最近在JRE 1.7中发现了一个漏洞。我在报纸上找到一篇文章 我在工作中运行JDK1.5和1.6(与许多组织一样,我们不使用最新的技术),因此没有问题 在家里,我正在用JavaSE7U6进行开发。我在玩Grails,Spring Security,努力学习 我已经在我的家用开发机器上禁用了所有浏览器中的Java插件。然而,有人知道我的家用开发机器是否由于安装了JDK 7而仍然易受攻击吗?我确实在US-CERT上找到了这篇文章,其中声明了漏洞通知: 听起来好像只要浏览器不
其他人在了解到JRE 1.7的安全问题后做了什么 最新漏洞的详细信息尚未公开。然而,我的理解是,它只影响Java浏览器插件。建议的缓解措施是禁用Java浏览器插件。没有提到非插件Java,因此我认为可以安全地假设,您的开发机器不会因为安装了Java 7而受到攻击 但是,JavaWebStart/JNLP呢?这能被调用吗
我不这么认为。我认为,安全地假设发现问题的人会想到潜在的攻击向量。(但简单的常识是,你首先不想启动随机的JNLP程序…我的理解是,你必须访问一个恶意站点才能被感染。因此,不,您不会因为浏览器中安装了Java7而面临风险 一些有用的链接:
- 解释漏洞的US-CERT链接:
- Oracle链接到他们的安全警报(不仅是Java,还包括Java):
在撰写本文(2012年8月30日)时,我看不到甲骨文已经就此发出了警报。我真的不知道他们是否只是在创建补丁后才发出这样的警报。根据US-CERT网站,Oracle于2012年8月29日正式发出警报,但他们可能已经知道此事,因为有关该漏洞的博客报告是在29日前几天开始的
在Oracle网站上可以看到,下一次计划的“Java SE关键补丁更新”将于2012年10月16日进行。当然,他们不会等待,但尽快发布该漏洞的带外补丁。(他们以前也这样做过)如果想了解更多信息,最好把这个问题放在上面。请参阅。作为旁注,Chrome在页面上有一个“下载关键安全更新”链接about://plugins 如果您安装了有风险的插件,请点击第页。