订阅业界RSS CSDN首页> 业界

美国政府:修复漏洞仍有风险 应禁用Java插件

发表于2013-03-06 09:30| 次阅读| 来源CSDN| 0 条评论| 作者张勇

摘要:周一甲骨文推出Java修复补丁后,美国政府紧接着在周二提醒用户应立即更新补丁外,还建议用户不管是使用什么操作系统和浏览器,只要不需使用Java,都最好完全卸载Java,因为这将用助于避免未来发现的其它Java漏洞。


北京时间3月6日消息,甲骨文周一对外宣布称,已正式发布Java更新补丁以解决两个独立的安全漏洞(其中一个漏洞已被黑客广泛利用),而紧接着美国政府在周二对甲骨文这次更新给出了参考建议:劝告用户应立即更新漏洞补丁,但同时它也指出,即使打了补丁仍然会有安全风险,如果不需要最好完全禁用浏览器Java插件。

美国国土安全部下属的计算机应急响应小组(US-CERT)先后出台了针对Java漏洞的说明,部分说明摘录如下:

  • 这些问题在Java 7 Update 17和Java 6 Update 43中已得到解决(有关详细信息,请参阅CVE-2013-1493甲骨文安全警报)。即使你更新了Java最新的补丁,如果不是非得使用浏览器Java插件,最好也还是完全禁用了吧,因为这将用助于避免未来发现的其它Java漏洞。
  • 在浏览器中禁用Java:从Java 7 Update 10开始,就可以通过Java控制面板来禁用浏览器中的Java插件。
  • 限制访问Java小程序:如果网络管理员无法禁用浏览器的Java插件,可以限制访问Java小程序来帮助其避免Java漏洞攻击,这可以通过使用代理服务器的规则来实现。比如:设立白名单或阻止访问.jar和.class的web请求,以预防Java使用不受信任的软件源。

计算机应急响应小组表示前两条说明适用于所有用户,同时他们还建议:

无论您使用的是什么浏览器和操作系统,如果您不需要使用Java,您最好完全卸载它。如果你确实需要用到它,请在默认的浏览器中禁用Java,而当你需要使用Java时请使用第二(即备用的)浏览器,同时也最好将Java安全设置调为“高”等级,这样在加载一个小程序时就会有所提示。

最后一点对于那些IT人士来说也非常重要,它可以显著加强一些公司的网络安全。事实上,早在上个月美国国土安全部就警告电脑用户禁止使用甲骨文的软件,而在更早之前,一些安全专家也事先向普通用户和企业用户发出警告,在网上浏览时最好禁用甲骨文的Java软件,但令人遗憾的是,随后包括苹果、Facebook和微软等众多公司,都因Java漏洞而遭到攻击。

Java之殇,何时了?

有安全专家指责称,在众多Java漏洞攻击事件中甲骨文应负主要责任,因为甲骨文并没有做好针对安全漏洞更新的正确测试,导致人们广泛使用的Java漏洞百出,甚至更新的补丁还带有更大更多的漏洞,导致漏洞越修越多。另外CSDN在之前的文章“Java,你还会让多少人继续“受伤”?”中也指出,甲骨文漏洞修复速度十分缓慢(近来似乎稍微好点),甚至不如苹果,仿佛与己无关,根本不像当事人。

因此美国政府今天的建议看来,一方面是考虑到广泛的安全因素,另一方面或许也是希望用户远离Java软件后,能够唤起甲骨文态度的改变,从而重视产品的安全问题。(文/张勇 责编/魏兵)

相关阅读:

Java,你还会让多少人继续“受伤”?

Java无用且有害 那就卸载了吧!

本文为CSDN原创,未经允许不得转载。如需转载请联系market@csdn.net。

0
0
  • CSDN官方微信
  • 扫描二维码,向CSDN吐槽
  • 微信号:CSDNnews
程序员移动端订阅下载

微博关注

相关热门文章