甲骨文(Oracle)於上周發表重大修補更新(Critical Patch Update,CPU),共釋出127個安全更新,其中有51個屬於Java更新,這也是甲骨文首次在CPU中整合了Java的修補程式,未來的Java漏洞修補都將遵循CPU時程。

甲骨文在2009年以74美元買下昇陽,取得了Java的掌控權,甲骨文通常在2月、6月與10月的既定時程中祭出Java安全更新,去年修補了58個Java漏洞,但去年底以來Java的漏洞與災情頻傳,促使甲骨文加速Java漏洞的修補,今年上半年光是在2月、4月及6月就修補了137個Java漏洞,10月再修補了51個,代表甲骨文今年總計釋出4次的Java安全更新,修補了188個Java漏洞。

過去Java每年只進行3次的安全更新,但今年甲骨文已被訓練到能夠更快速地修補Java漏洞,從組織、技術到流程的改善讓甲骨文決定從今年10月起,讓Java更新併入每年4次的CPU更新周期。

因此,這是第一次甲骨文在CPU中同時納入Java與其他甲骨文的產品安全修補程式。在此次釋出的51個Java SE修補程式中,有50個漏洞允許遠端程式攻擊,最危險已達到最高的10分CVSS風險等級,意味著駭客有機會掌控使用者的系統。此外,在這51個漏洞中,有40個與客戶端的Java部署有關,8個同時與客戶端及伺服器端的部署有關,2個與以Javadoc執行服務有關,另1個漏洞與JHat工具有關。

甲骨文強烈建議所有的Java用戶,特別是家用使用者升級至最新的版本以避免惡意攻擊。

另一方面,蘋果也跟著甲骨文的腳步在上周更新了蘋果OS X所支援的Java SE 6,最新版本為1.6.0_65,此一更新適用於OS X 10.7以上的版本。根據蘋果的說明,該更新將移除所有瀏覽器中由蘋果提供的各種Java外掛程式,當使用者瀏覽到需要相關外掛的網頁時,可以直接到甲骨文網站下載最新版本的程式。

其他的76個漏洞則是攸關甲骨文資料庫、 Fusion Middleware、 Enterprise Manager Grid Control、 E-Business Suite、 Supply Chain Products Suite、PeopleSoft Enterprise、Siebel CRM、iLearning、industry Applications、FLEXCUBE、Primavera、Oracle and Sun Systems Products Suite、Oracle Linux and Virtualization及MySQL等甲骨文產品。甲骨文明年的CPU時程將為1月、4月、7月與10月。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容