Java最近处在风口浪尖上,这是最近发生的Java安全问题CVE-2012-4681所带来的杂乱状况的影响。问题还包括相关的一系列针对Java浏览器插件攻击的漏洞CVE-2012-1682、CVE-2012-3136和 CVE-2012-0547。 这些安全问题已经成为大家关注的焦点,特别是当相关攻击代码被加入到Blackhole这一臭名昭著的黑客攻击工具之后,情况变得更加严重。这一工具通过 不断尝试大量可利用的漏洞集来尝试攻击目标机器。这4个漏洞会影响Oracle Java SE7第六次升级补丁及之前版本。其中漏洞0547 也影响到Java 6 第34次升级补丁及之前版本。
波兰的安全创业公司Security Explorations 早在四月份就向Oracle和苹果非公开披露了这一缺陷。就在这些漏洞刚刚获得媒体的高度关注以后不久,Oracle在8月30日发布了新的安全补丁 (Java 7第七次升级补丁),但是现在看来,正是Oracle发布的这一安全补丁自身引入了漏洞。“我可以确信Oracle在8月30日发布的Java7第七次升 级补丁包含了安全漏洞。这些漏洞可以被攻击者利用以绕开Java的安全沙箱。”在和InfoQ的邮件沟通中,Security Explorations的创始人和CEO Adam Gowdiak谈到,“这其中包括了在这一补丁发布之后所发现的缺陷,同时在8月31日,这些漏洞已经报告给了Oracle。”
不同于早先的安全漏洞,在实际环境中并没有发现针对这些缺陷的攻击,但是Security Explorations的状态页面显示,利用报告中包含的概念验证代码,收到报告的公司已经验证了可以利用漏洞进行攻击。
Oracle现在开始和其他平台一样为OS X提供Java SE 7,而苹果仍旧为自己的操作系统维护Java 6。苹果在9月5日星期三发布了针对 0547漏洞的Java升级补丁。用于OS X 2012-005的Java 和 用于Mac OS X 10.6的Java更新10 已经将网页浏览器设置为不自动运行Java 应用程序(Applet),另外,当一段时间内没有应用程序(Applet)运行时,Java网页插件将被停用。
苹果正由于发布Java升级补丁比Orcale所支持的平台滞后数月而受到批评。Flashback这一臭名昭著的木马已经展现出这一做法的危险性。这一木马所利用的漏洞在二月已经被Oracle修复,但直到四月份才在OS X修复,这导致670,000 台OS X的机器被感染成为僵尸网络机器(strain botnet)。在这之后,苹果公司开始更快地响应,在六月份,他们第一次与Oracle同步发布了升级补丁。
4681漏洞也存在于 IBM的Java运行时。9月11日漏洞的安全警告和概念验证代码已经报告给了厂商。
由于这一问题并不会影响Java单机桌面应用和服务器上运行的Java,Java 7的用户被建议在浏览器中禁用Java插件,仅当必须使用Java时再开启,或者使用其他的浏览器。美国计算机应急小组(US-CERT)提供了进一步的建议和说明,他们同时建议如果可能,应当将Java整体卸载。