最近，Java6的最新更新中修復(fù)了17個安全漏洞和一個非安全相關(guān)的問題，引起了很大的關(guān)注，很多讀者對此也很感興趣。現(xiàn)在，我將列出關(guān)于17個安全漏洞的最新消息，以及Java6最新更新中修復(fù)的一個非安全相關(guān)問題。

作為計劃更新的一部分，甲骨文修復(fù)了Java中至少17個安全漏洞。

該公司表示，在6月8日發(fā)布的最新Java 6更新中，Oracle修復(fù)了17個安全漏洞和一個非安全相關(guān)的問題。這17個漏洞將允許攻擊者在沒有身份驗證的情況下在受影響的系統(tǒng)上遠(yuǎn)程執(zhí)行代碼。

在Windows電腦上，主賬號為管理員賬號的漏洞中，有9個漏洞的風(fēng)險為10/10，這意味著理論上攻擊者可以控制電腦。除了一個漏洞之外，所有漏洞都會影響在網(wǎng)絡(luò)瀏覽器中運行的Java運行時環(huán)境插件。

在甲骨文網(wǎng)站的一份聲明中，它說：“由于成功攻擊的威脅，甲骨文強烈建議客戶盡快應(yīng)用這些補丁?！?

Java、Internet Explorer和Adobe Reader是最容易受到攻擊的三個程序。安全專家表示，如果用戶不定期更新這些程序，他們將面臨受到威脅的嚴(yán)重風(fēng)險。

Sophos的高級安全顧問Chester Wisniewski在下體安全博客上寫道：“在利用Java漏洞利用Windows計算機的攻擊者中，我們已經(jīng)看到了巨大的成功，并且還進(jìn)行了更廣泛的實驗來構(gòu)建可以在Mac和Linux上運行的惡意軟件?！比ツ昊贛ac的Koobface就是惡意軟件開發(fā)人員如何使用Java為非Windows計算機創(chuàng)建跨平臺惡意軟件的一個例子。

6 Java Update 26(V 1.6.0.26)可通過Java updater或網(wǎng)站java.com獲得，可用于Windows、Linux和Solaris操作系統(tǒng)。此更新將解決本地安裝的程序和瀏覽器插件中的問題。

Mac用戶將不得不等待蘋果來修復(fù)這個問題，因為Oracle目前沒有為OS X提供Java，蘋果在3月份Oracle修復(fù)錯誤一個月后，在Leopard和Snow Leopard中修補了Java。今年10月，蘋果表示，從Mac OS X Lion 10.7版本開始，Java將不再是操作系統(tǒng)的一部分，而是通過Oracle網(wǎng)站進(jìn)行安裝和打補丁。

Java已經(jīng)安裝在全球超過8.5億臺PC上，這使得它成為網(wǎng)元的主要目標(biāo)。根據(jù)賽門鐵克4月發(fā)布的年度互聯(lián)網(wǎng)安全威脅報告，2010年影響瀏覽器插件的漏洞中，Java占了17%。Java惡意軟件通常依賴修補的漏洞，因為舊版本的軟件很常見。雖然Java已經(jīng)被廣泛安裝，但今天并沒有多少用戶在他們的計算機上積極使用Java。

F-Secure的Mikko Hypponen去年5月在推特上發(fā)現(xiàn)了一個惡意鏈接，是Java小程序提供的。它說：“你的瀏覽器真的需要Java嗎？真的嗎？如果沒有，請?zhí)幚淼?。”有效載荷。

但是，這并不意味著用戶應(yīng)該立即繼續(xù)并卸載Java運行時環(huán)境。流行的開源辦公生產(chǎn)力套件OpenOffice.org需要Java才能正常運行，并且有許多VMware產(chǎn)品依賴于Java。

很多銀行網(wǎng)站和照片分享網(wǎng)站仍然使用Java，要求用戶安裝Java插件。一些網(wǎng)站仍然依賴Java小程序進(jìn)行數(shù)據(jù)可視化。一般很多公司還是在內(nèi)部使用Java進(jìn)行定制解決方案，所以用戶應(yīng)該繼續(xù)更新軟件，而不是完全刪除。

Wisniewski建議使用沒有Java插件的測試系統(tǒng)來確定是否需要安裝軟件。Wisniewski說，最小化插入瀏覽器的軟件數(shù)量“減少了通過互聯(lián)網(wǎng)傳播的攻擊的攻擊面。”Wisniewski補充說，“如果需要Java，請確保部署這個更新。”