甲骨文發布Java緊急更新補丁 專家稱漏洞仍存在

        北京時間 1 月 14 日消息，據國外媒體報道，在美國國土安全部（The Department of Homeland Security）警告電腦用戶禁止使用甲骨文 Java 軟件以免遭到黑客攻擊后，甲骨文在當地時間周日發布了一個 Java 緊急更新補丁。

        但是，過去數年一直致力于研究 Java 漏洞的波蘭 Security Explorations 公司 Java 安全專家亞當-戈迪亞克(Adam Gowdiak)表示，“甲骨文的此次更新并沒有解決數個嚴重的安全問題。

        “我們到現在還不敢通知用戶可以安全的使用 Java。”戈迪亞克說道。

        甲骨文于當地時間周日在自己的安全博客中發布更新 ，宣布已經修復了 Java 7 中兩個針對瀏覽器的漏洞。此外，甲骨文還將 Java 的默認安全設置上調至“高”，這增加了可疑程序不經用戶許可而運行的難度。

        Java 是一種電腦程序語言，能夠讓程序開發員利用代碼編寫軟件，這種軟件將能夠在各種類型的電腦上運行，其中包括搭載微軟 Windows、蘋果 OS X 和 Linux 操作系統的電腦，普通電腦用戶則可以通過在瀏覽器內使用 Java 插件來更好的訪問網頁內容。有分析師預計，目前全球范圍內大約有超過 10 億臺設備安裝了 Java 軟件。

        在當地時間周四，美國國土安全部以及部分安全專家曾警告稱，黑客已經找到了利用安裝了 Java 軟件的瀏覽器在用戶不知情的情況下安裝惡意軟件的方法。通過這一漏洞，黑客可以輕松盜竊用戶個人信息，或使受感染的計算機成為僵尸廣告網絡中的一員。甲骨 文表示，此次曝光的漏洞僅對最新的 Java 7 版本有影響。

        應該說，Java 的普及性恰恰是該軟件成為黑客主要攻擊目標的最主要原因。據安全軟件廠商卡巴斯基實驗室（Kaspersky Lab）公布的數據顯示，甲骨文的 Java 已經成功超過 Adobe 公司的 Reader 成為被黑客攻擊最頻繁的軟件。去年，大約有 50% 的黑客攻擊都同 Java 有關， Adobe Reader 排名第二，占到了 28% 的份額，Windows 組件和 Internet Explorer 則占據了3% 的份額。

        值得一提的是，美國國土安全部此前就曾發布警告稱，黑客可以誘騙用戶訪問惡意網站，并借助 Java 軟件漏洞感染用戶的個人電腦，這種攻擊還可以利用受感染電腦通過上傳惡意軟件的方式來感染合法網站。而且，黑客甚至可以通過這一漏洞感染用戶信任的網站， 即便他們此前在訪問這些網站時沒有發現任何問題。

        事實上，早在今年 8 月 Java 被爆出一個類似的安全漏洞后，安全專家就一直在審查 Java 的安全性。一些安全專家甚至建議用戶，“只有在必要的時候才使用這一軟件。”