http://www.ithome.com.tw/itadm/article.php?c=75967 Java 7更新後立即又被發現新漏洞 文/沈經 2012-09-03 有部分專家建議用戶退回到Java 6，理由是此波零時差漏洞都只影響到Java 7，而八月中 更新的Java 6 update 35只針對錯誤修正，已經沒有安全性問題。 今年四月間發現Java 7漏洞的波蘭資安公司Security Explorations執行長Adam Gowdiak 透過電子郵件向媒體表示，甲骨文在8/30釋出Java 7修補程式，當日傍晚他們只用兩三個 小時就找出漏洞。該漏洞如同先前的零時差攻擊中被利用的漏洞一樣，可以完全擺脫Java 的沙箱保護機制，可能導致Java用戶電腦遭駭客控制。 為避免駭客利用該漏洞，在甲骨文修補好漏洞之前，Security Explorations表示不會透 露該漏洞的相關資訊，但該公司仍建議使用者在甲骨文修補好漏洞之前解除安裝Java 7， 或者在瀏覽器中禁止使用。 甲骨文先前排定10月份釋出定期更新，但上週破例釋出緊急修補程式之後，沒有提到下一 次釋出更新的資訊。而甲骨文最近釋出的更新程式甚至還沒把Security Explorations公 司在四月時提出的29個漏洞修補完。 在各媒體的讀者回應中，許多使用者表示移除Java會影響到日常作業所使用的軟體。 有部分專家建議用戶退回到Java 6，理由是此波零時差漏洞都只影響到Java 7，而八月中 更新的Java 6 update 35只針對錯誤修正，已經沒有安全性問題。 麥金塔用戶中，Leopard（10.5）或Snow Leopard（10.6）僅可使用Java 6，而Lion（ 10.7）與Mountain Lion（10.8）也可以參考甲骨文提供的方式轉用Java 6。 Adam Gowdiak也對媒體表示，他們對Java 7如此容易被攻陷感到訝異，而Java 6他們僅在 Quicktime的功能中發現過能跳脫沙箱控制的漏洞。（編譯/沈經） 原來先前的更新只是表象罷了...? -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.168.227.77 ※ chjimmy:轉錄至看板 Gossiping 09/03 22:17