Oracle釋出Java 7 update 10 新添安全機制

甲骨文（Oracle）釋出JRE/JDK 7 update 10，增加支援Windows 8、Windows 8中的Internet Explorer 10以及OS X 10.8（Mountain Lion），但不支援Windows 8的Modern UI（Metro）模式。

新版本修復一個問題、更新時區資訊及多種安全機制，例如未簽署程式在過舊版本的客戶端中執行前，會顯示警告要求使用者更新客戶端程式。資訊管理人員可透過安全控制面板設定提供多種安全機制，最嚴格的狀況下可以禁止由網路瀏覽器開啟Java應用，也可以設定在開啟未簽署的程式前跳出客製化的警告。

資安公司Qualys認為「檢查版本」是新版Java值得注意的一項功能，但資訊管理人員不一定會啟用該功能。該公司BrowserCheck檢查瀏覽器漏洞列表顯示Java是2012年中資安漏洞的主要來源之一，其中一個問題是許多客戶端仍使用Java 6。

資安公司Sophos則抱怨Java有為數眾多的漏洞，Oracle一年卻只更新三次，即使是最新版本仍不安全。資安公司Rapid7則認為新版的安全控制面板預設為中等過於寬鬆，該等級只要版本夠新就可以執行無簽署的Java程式。資安公司nCircle的主管甚至把Java列為建議移除軟體名單的首位。

另一方面根據Oracle的產品規劃，明年2/19之後Java 6就會停止公開更新，僅有購買支援服務的企業才能繼續取得更新。事實上Oracle原本預計在今年七月停止更新，第一次延至11月，後來又改為明年二月。

VMware研發經理Jason Miller認為Oracle不會再延長Java 6的支援時間，建議資訊管理人員應該立即研究對策，他認為Oracle的決定將會逼使資訊管理人員升級至Java 7，如果不升級的企業可能要深入研究防禦措施。

停止更新對OS X用戶可能帶來更多問題。Windows XP及之後的版本都可以升級至Java 7，但OS X最新的兩版10.8/10.7才可以升級至Java 7，更早之前的版本僅能使用Java 6。而且Java 6由蘋果公司負責維護，曾因為過晚推出更新程式而導致2%麥金塔感染FlashBack的資安問題。

Jason Miller認為Oracle的作法合理，因為一直以來許多駭客瞄準Java漏洞進行攻擊，升級到新版本可以抑制這些攻擊。不過波蘭資安公司Security Explorations創辦人向媒體表示，基於先前程式碼中發現的漏洞研判，留在Java 6比升級到Java 7還安全。（編譯/沈經）