甲骨文提前進行Java SE重大更新，修補50個漏洞

甲骨文於上周五（2/1）提前釋出Java SE的重大修補更新（Critical Patch Update，CPU），總計修補了50個Java SE的安全漏洞。

甲骨文表示，Java SE的CPU原本預訂於今年2月19日才釋出，但由於其中一個漏洞已經受到利用，影響了桌面瀏覽器的JRE（Runtime Environment），因此決定提前進行更新。

此一更新程式修補了Java SE中的50個安全漏洞，其中有49個可能在未經授權的情況下被遠端攻擊，例如不需使用名稱或密碼即可入侵網路，此一更新影響了JDK/JRE 7 Update 11與先前的版本、JDK/JRE 6.0 Update 38、JDK/JRE 5.0 Update 38與先前的版本、SDK/JRE 1.4.2_40與先前的版本，JavaFX 2.2.4與先前的版本。

甲骨文軟體安全總監Eric Maurice則說明，在這50個安全漏洞中，有44個只影響瀏覽器中的Java部署，換句話說，這些漏洞只會透過Java Web Start程式或Java applet影響使用者的桌面。

Maurice亦強調，JRE在桌面瀏覽器上的普及，再加上瀏覽器上的Java與OS是各自獨立的，才讓Java成為駭客覬觎的目標。為了避免Java applet任意直接執行，甲骨文也把Java預設的安全等級提升到「高」（high），以允許瀏覽器用戶能在執行Java applet之前進行確認。

今年1月10日美國電腦緊急應變小組（US-CERT）警告Java 7含有零時差漏洞，允許駭客進行遠端攻擊，且該漏洞已被納入黑市銷售的駭客攻擊套件中，甲骨文則於1月13日緊急釋出Java 7 Update 11進行修補，但隨後資安業者發現Update 11並未真正解決Java的安全問題，因此建議使用者關閉瀏覽器中的Java功能，而蘋果則在OS X的更新中直接封鎖了Java。

在甲骨文發表了Java SE的重大修補更新後，蘋果也隨之釋出OS X的Java更新，表示最新的Java版本已解決了先前外掛程式的安全問題。（編譯/陳曉莉）