Java安全更新修復19個漏洞并禁用了SSL 3.0

近日，Oracle發布 本季度重要的補丁更新 ，本次更新共修復了169個安全問題，這些問題涉及到了Oracle 全系列產品，其中關于Java的安全更新就有19個漏洞的修復以及對SSL 3.0安全協議默認支持的禁用，這是因為SSL 3.0安全協議已經成了一個易于受攻擊、過時的協議。

19個漏洞修復中有14個影響了Java客戶端的部署，這些漏洞能夠通過惡意的Java小程序（Java Applet）或Java Web Start應用程序的網頁來發起攻擊，其中有4個在 通用安全漏洞評分系統（CVSS） 中被評為10分（最高級別），另外2個被評為差不多9.3分。新修復的Java版本涉及到5.0u81、6u91、7u75 / 7u76和8u31，但是關于Java 5和6的更新僅適用于同Oracle簽署了長期技術支持合同的客戶；本次更新也是Java 7的用戶最后的一次更新，此后，Java 7的用戶要想持續得到安全更新，他們必須具有同Oracle簽訂長期的技術支持合同，否則就只能升級到Java 8。

根據思科（Cisco）公布2015年年度安全報告 顯示 ，2014年的Java程序受到攻擊的數量下滑了34%。然而在2013年12月，一家名為網絡安全公司 Trusteer 的IBM旗下公司針對軟件的木馬攻擊情況進行了統計，發現有 一半的攻擊都是針對Java 。

此外，在關于Java的安全更新中，另一個重要的更新是默認禁用對SSL 3.0協議的支持。SSL 3.0是安全套接層協議 (Secure Sockets Layer 簡稱 SSL)的一個版本，該版本已有差不多15年的歷史之久，屬于過時且不安全的協議。尤其在去年，Google 公布 了所發現SSL 3.0的漏洞（稱為POODLE漏洞），這種漏洞使得攻擊者可以通過特定的手法獲取客戶端和服務器之間的加密數據，這些需要加密傳輸的很多數據多涉及到用 戶的隱私，如賬號、密碼之類的敏感信息。隨后，谷歌、蘋果、Mozilla、微軟等各大公司相繼宣布直接禁用了SSL 3.0協議或者添加可禁用該協議的功能。