資安業者FireEye上周警告新的Java零時差漏洞,影響Java 6 Update 41及Java 7 Update 15,甲骨文則於周一釋出緊急更新修補這兩個版本的Java漏洞。

甲骨文釋出的是Java 6 Update 43及Java 7 Update 17,原本Java 6 Update 41已是Java 6最後一個更新版,但該漏洞使得甲骨文破例進行更新,同時建議使用者升級至Java 7。

甲骨文表示,這些漏洞未經授權即可進行遠端攻擊,例如不需使用者名稱或密碼就能透過網路攻擊,使用者必須透過瀏覽器造訪惡意網站才會被波及,遭攻擊時將影響使用者系統的完整性與可用性。

甲骨文軟體安全總監Eric Maurice指出,甲骨文是在今年2月1日收到FireEye的通知,但來不及在2月19日釋出的Java SE重大更新(Critical Patch Update)中修補,原本打算要在4月16日的Java SE重大更新再行修補,但因已出現實際攻擊行動,為了保障Java SE客戶的安全,才決定釋出緊急更新。

Maurice說,相關漏洞都只影響Java SE的2D元件,而未波及伺服器版的Java.桌面的Java程式或嵌入式的Java程式,但這些漏洞被列為最危急的CVSS 10等級,使用者應儘快進行更新。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容