甲骨文釋出127個安全更新，51個與Java有關

甲骨文（Oracle）於上周發表重大修補更新（Critical Patch Update，CPU），共釋出127個安全更新，其中有51個屬於Java更新，這也是甲骨文首次在CPU中整合了Java的修補程式，未來的Java漏洞修補都將遵循CPU時程。

甲骨文在2009年以74美元買下昇陽，取得了Java的掌控權，甲骨文通常在2月、6月與10月的既定時程中祭出Java安全更新，去年修補了58個Java漏洞，但去年底以來Java的漏洞與災情頻傳，促使甲骨文加速Java漏洞的修補，今年上半年光是在2月、4月及6月就修補了137個Java漏洞，10月再修補了51個，代表甲骨文今年總計釋出4次的Java安全更新，修補了188個Java漏洞。

過去Java每年只進行3次的安全更新，但今年甲骨文已被訓練到能夠更快速地修補Java漏洞，從組織、技術到流程的改善讓甲骨文決定從今年10月起，讓Java更新併入每年4次的CPU更新周期。

因此，這是第一次甲骨文在CPU中同時納入Java與其他甲骨文的產品安全修補程式。在此次釋出的51個Java SE修補程式中，有50個漏洞允許遠端程式攻擊，最危險已達到最高的10分CVSS風險等級，意味著駭客有機會掌控使用者的系統。此外，在這51個漏洞中，有40個與客戶端的Java部署有關，8個同時與客戶端及伺服器端的部署有關，2個與以Javadoc執行服務有關，另1個漏洞與JHat工具有關。

甲骨文強烈建議所有的Java用戶，特別是家用使用者升級至最新的版本以避免惡意攻擊。

另一方面，蘋果也跟著甲骨文的腳步在上周更新了蘋果OS X所支援的Java SE 6，最新版本為1.6.0_65，此一更新適用於OS X 10.7以上的版本。根據蘋果的說明，該更新將移除所有瀏覽器中由蘋果提供的各種Java外掛程式，當使用者瀏覽到需要相關外掛的網頁時，可以直接到甲骨文網站下載最新版本的程式。

其他的76個漏洞則是攸關甲骨文資料庫、 Fusion Middleware、 Enterprise Manager Grid Control、 E-Business Suite、 Supply Chain Products Suite、PeopleSoft Enterprise、Siebel CRM、iLearning、industry Applications、FLEXCUBE、Primavera、Oracle and Sun Systems Products Suite、Oracle Linux and Virtualization及MySQL等甲骨文產品。甲骨文明年的CPU時程將為1月、4月、7月與10月。（編譯/陳曉莉）