甲骨文緊急釋出Java 7更新修補漏洞

上周傳出Java 7 update 10及先前版本皆含有可供駭客遠端執行程式的安全漏洞，使得甲骨文於本周日（1/13）緊急釋出Java 7 update 11更新修補相關漏洞以及安全建議。

甲骨文軟體安全總監Eric Maurice說明，此次的更新修補了Java位於瀏覽器中的兩個漏洞，相關漏洞並未影響伺服器、桌面應用程式或嵌入式Java，同時亦只波及Java 7版本，兩個漏洞都可在未取得授權下執行遠端攻擊，因此在評估漏洞嚴重性的CVSS Base Score等級上皆被列為最嚴重的10。

Maurice表示，這些漏洞的攻擊情景都是一樣的，駭客必須先說服使用者瀏覽惡意網站，才能在瀏覽器中執行惡意程式，進而允許駭客在被駭系統上遠端執行程式，由於漏洞僅能透過惡意的瀏覽器程式被利用，因此只會影響瀏覽器中的Java。

有鑑於相關漏洞已被駭客鎖定，並已被納入不同的駭客工具中，因此甲骨文建議用戶儘快進行更新；此外，若已關閉Java控制盤或瀏覽器中的Java，在執行更新後，必須手動重新啟用。

事實上，近來Java陸續出現了零時差漏洞，漏洞的泛濫程度已讓Mozilla考慮是否要於Firefox中直接封鎖有漏洞的Java執行，更有資安業者指出，甲骨文對Java程式碼已經失控，並建議甲骨文應重新改寫Java的某些核心元件，以確保這些元件的完整度與安全性，而非只是一再地修補。（編譯/陳曉莉）