国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　Java比來為了鞏固數(shù)據(jù)安然，發(fā)布了最新的補丁，可是就在這以后不久，新的數(shù)據(jù)安然標(biāo)題問題再次被發(fā)現(xiàn)?？磥磉@個“燒眉之急”是沒有解到。

　　在Java 最新修訂發(fā)布幾天后，安然研究員 Adam Gowdiak 就發(fā)現(xiàn)了另外一個 Java 的縫隙。在附帶的透露文章中，Gowdiak 暗示 Reflection API 缺點會影響 Java SE 7 的全數(shù)版本，并且“可以用來在方針系統(tǒng)上達到完全繞過 Java 安然沙箱的目標(biāo)”。該縫隙同時在插件/JDK 軟件中存在，而辦事器 JRE 也未能幸免。經(jīng)由過程 Web 瀏覽器透露的縫隙確切要求用戶“在看到安然性警告窗口的時辰，接管履行暗藏地歹意 Java 利用的風(fēng)險，”Gowdiak 寫道。

　　Gowdiak 傳播鼓吹他的公司 Security Explorations 已將縫隙陳述及概念驗證代碼發(fā)送給 Oracle。

　　Security Explorations 最早在 2012 年 4 月與 Oracle 聯(lián)系，出格向其傳遞了 Java SE 7 和 Reflections API 中的安然標(biāo)題問題。但是 Gowdiak 覺得“看起來，Oracle 重點專注于措置‘許可的’類空間中暗藏的 Reflection API 危險調(diào)用”——也就是不受信賴的 applet 或 Web 啟動利用法度如許的法度可以或許拜候的類。

　　因為這一最新縫隙同時也影響辦事器 JRE，這讓工作變得有一些不服常。上周，Oracle 發(fā)布了一個補丁，修復(fù)了其他 42 處缺點，此中 19 處在公司用來評估的 CVSS 評測中獲得了 10 分(最嚴(yán)重)。不外此中大年夜部門縫隙是針對客戶端 Java 的，并且只可以或許經(jīng)由過程不受信賴的 applet 或是 Web 啟動利用法度來操縱這些縫隙。

　　針對這些縫隙的補丁來得很及時。從一篇 Timo Hirvonen 頒發(fā)的短博文來看，或許是因為縫隙已被添加到 CrimeBoss、Cool 和 CritX 報復(fù)打擊東西，和滲入測試產(chǎn)品 Metasploit 上面，利用長途代碼履行縫隙之一(CVE-2013-2423)的報復(fù)打擊已呈現(xiàn)。RedKit 也曽被報導(dǎo)過，但 Hirvonen 向 InfoQ 確認(rèn)這是由F-Secure 的自開東西弊端陳述而至。

　　在該新聞以后，Java 在安然方面渡過了艱巨的幾個月。在數(shù)月的負(fù)面報導(dǎo)以后，Oracle 比來委任 Java 安然主管 Milton Smith，Smith 在 1 月份的一個德律風(fēng)會議中聲明Oracle 將專注于修復(fù)標(biāo)題問題并加強與社區(qū)成員的交換。

　　繼黑客操縱 Java 中的 0day 缺點對多家公司進行報復(fù)打擊后(這些公司包含 Apple、Facebook 和 Microsoft，或許還有 Twitter)，Java 再次成了頭條新聞。

　　Oracle 需要集中更多的資本，以應(yīng)對接下來與 Java 的安然標(biāo)題問題進行的斗爭。這也被視作 JDK 8 的發(fā)布推遲到 2014 年的一個啟事。