Orcale和蘋果遭受Java安全問題困擾

　　英文原文：Oracle and Apple Struggle to Deal with Java Security Issues

　　Java 最近處在風口浪尖上，這是最近發生的 Java 安全問題 CVE-2012-4681所帶來的雜亂狀況的影響。問題還包括相關的一系列針對 Java 瀏覽器插件攻擊的漏洞 CVE-2012-1682、CVE-2012-3136和 CVE-2012-0547。這些安全問題已經成為大家關注的焦點，特別是當相關攻擊代碼被加入到 Blackhole 這一臭名昭著的黑客攻擊工具之后，情況變得更加嚴重。這一工具通過不斷嘗試大量可利用的漏洞集來嘗試攻擊目標機器。這 4 個漏洞會影響 Oracle Java SE7 第六次升級補丁及之前版本。其中漏洞 0547 也影響到 Java 6 第 34 次升級補丁及之前版本。

　　波蘭的安全創業公司 Security Explorations 早在四月份就向 Oracle 和蘋果非公開披露了這一缺陷。就在這些漏洞剛剛獲得媒體的高度關注以后不久，Oracle 在 8 月 30 日發布了新的安全補丁（Java 7 第七次升級補丁），但是現在看來，正是 Oracle 發布的這一安全補丁自身引入了漏洞。“我可以確信 Oracle 在 8 月 30 日發布的 Java7 第七次升級補丁包含了安全漏洞。這些漏洞可以被攻擊者利用以繞開 Java 的安全沙箱。”在和 InfoQ 的郵件溝通中，Security Explorations 的創始人和 CEO Adam Gowdiak 談到，“這其中包括了在這一補丁發布之后所發現的缺陷，同時在 8 月 31 日，這些漏洞已經報告給了 Oracle。”

　　不同于早先的安全漏洞，在實際環境中并沒有發現針對這些缺陷的攻擊，但是 Security Explorations 的狀態頁面顯示，利用報告中包含的概念驗證代碼，收到報告的公司已經驗證了可以利用漏洞進行攻擊。

　　Oracle 現在開始和其他平臺一樣為 OS X 提供 Java SE 7，而蘋果仍舊為自己的操作系統維護 Java 6。蘋果在 9 月 5 日星期三發布了針對 0547 漏洞的 Java 升級補丁。用于 OS X 2012-005的 Java 和 用于 Mac OS X 10.6 的 Java 更新 10 已經將網頁瀏覽器設置為不自動運行 Java 應用程序（Applet），另外，當一段時間內沒有應用程序（Applet）運行時，Java 網頁插件將被停用。

　　蘋果正由于發布 Java 升級補丁比 Orcale 所支持的平臺滯后數月而受到批評。Flashback 這一臭名昭著的木馬已經展現出這一做法的危險性。這一木馬所利用的漏洞在二月已經被 Oracle 修復，但直到四月份才在 OS X 修復，這導致670,000 臺 OS X 的機器被感染成為僵尸網絡機器（strain botnet）。在這之后，蘋果公司開始更快地響應，在六月份，他們第一次與 Oracle 同步發布了升級補丁。

　　4681漏洞也存在于 IBM 的 Java 運行時。9月 11 日漏洞的安全警告和概念驗證代碼已經報告給了廠商。

　　由于這一問題并不會影響 Java 單機桌面應用和服務器上運行的 Java，Java 7 的用戶被建議在瀏覽器中禁用 Java 插件，僅當必須使用 Java 時再開啟，或者使用其他的瀏覽器。美國計算機應急小組（US-CERT）提供了進一步的建議和說明，他們同時建議如果可能，應當將 Java 整體卸載。