Oracle在Java中介绍了Java中的40个安全问题,默认情况下,在星期二的Java计划的Tricon Tress修补程序更新中默认情况下启用在线证书撤销检查。
在新发布的Java 7更新25(Java 7U25)版本中仅修补了三十四个漏洞,仅影响Java的客户端部署。另外四个影响客户端和服务器部署,一个人会影响用于创建HTML文档文件的Java安装程序和一个Javadoc工具。
许多客户端漏洞都收到了Oracle使用的漏洞严重性刻度的最大分数。这些缺陷可以通过托管恶意Java applets - Java Web应用程序来控制计算机 - 在远程服务器上,并欺骗用户在浏览器中加载它们。
通过利用Java浏览器插件中的漏洞来提示漏洞对java平台在家庭用户和企业环境中的安全价值的漏洞来实现的大量基于Web的攻击攻击,其中Java也经常在服务器上使用Java。
为了清楚地区分对Java客户端和服务器部署的安全风险,Oracle于4月份开始运送单独的服务器JRE(Java Runtime环境)包,不包括浏览器插件。
javadoc问题可能会影响访问Web服务器上托管的工具生成的HTML页面的用户。
“由任何1.5或更高版本的Javadoc工具创建的一些HTML页面易受帧注入,”Oracle的软件保证总监Eric Maurice表示,博客帖子星期二。“如果已被剥削,则此漏洞可能导致恶意攻击者将帧注入漏洞的网页,从而允许攻击者通过其Web浏览器将毫无戒心的用户直接指向恶意网页。”
Java 7U25包含一个修补版的Javadoc工具,不再生成易受攻击的网页。此外,Oracle发布了一个单独的工具,称为Java API文档updater工具,可用于修复先前生成和易受攻击的页面。
新更新还提供了一些与其他安全相关的更改,包括默认情况下启用证书撤销检查功能。
作为其努力使Java Exploit的努力的一部分,Oracle早些时候更改了Java的默认行为,以防止在没有用户交互的情况下执行未签名的小程序,因此鼓励开发人员用有效证书对其Java Web应用程序进行数字签名。
但是,为了使其正常工作作为防御机制,Java需要能够在其发行证书颁发机构(CAS)撤销用于签署小程序的证书。否则,攻击者可以使用被盗证书签署恶意小程序,并且Java无法检测到该邮件,即使CA后来撤消了滥用证书。
虽然通过使用证书撤销列表(CRL)和在线证书状态协议(OCSP)来支持两种证书撤销检查 - 长时间存在于Java中,但默认情况下关闭该功能。五月,甲骨文承诺改变这一点在未来的释放中。
在Java 7更新25中进行了更改,该更新25现在使用CRL和OCSP来检查默认情况下的证书revocation。
“在正常情况下,撤销检查将对Applet和Web启动应用程序的启动性能产生略微影响,”Oracle在其上表示Java 7U25的发行说明。“具有托管网络的企业,无需访问互联网(导致无权访问证书颁发机构提供的撤销服务)将在启动时间内看到显着的延迟。”
为避免此类延迟,可以通过Java控制面板中可用的选项禁用证书撤销检查。然而,这是“应该在托管环境中考虑”,因为它降低了安全保护,“Oracle表示。
与过去的两年相比,Qualys漏洞实验室主任Amol Sarwate的漏洞中发现和固定在Java中的漏洞数量显着增加,周三在一封电子邮件发表声明中。“今年我们有137个漏洞,而在过去两年的同期仅为28和38次。”
“我们非常鼓励用户尽快修补,”他说。