Apple昨天发布了用于修复十几个安全缺陷的Mac所有者的Java更新,包括攻击者至少两周的攻击者被利用的所有者。
更新遵循Mozilla周一的决定黑名单未包邮版本在Windows版本的Firefox中运行的Java插件。然而,Mozilla尚未在Mac OS X上为Firefox提供类似的禁令。
Apple归类为周二修补的所有12个Java漏洞。虽然公司不使用威胁评分系统来评估错误修复,但它的使用“......可能会导致任意代码执行”。咨询描述了攻击者可以使用的最严重的缺陷来控制机器。
更新适用于Mac OS X 10.6,AKA Snow Leopard和OS X 10.7,更好地称为狮子。
虽然Apple不再将Oracle的Java与其Mac操作系统包装 - 它在2011年7月的狮子中停止了练习 - 它继续向运行狮子以及雪豹颁发Java安全更新。Java可能在某些狮子系统上:提示用户第一次尝试运行Java applet安装软件。
Java还存在于从雪豹升级到狮子的Mac上。
根据Mac Spectry Company Intego的说法,在3月23日的三月二十日起针对于3月23日的Trojan马的闪回氏族的一个诸多的十几种漏洞。
修补了oracle该Java漏洞 - 和13人 - 对于2月14日的Windows,Linux和Unix,但是因为Apple仍然在OS X上维护Java.
flashback.r利用CVE-2012-0507 Java Bug和像早期版本的恶意软件,可以默默地感染Mac用户。Intego在2月底分析的早期闪回是第一个不需要任何用户交互的Mac Trojan。在FlashBack.g之前,如果只让用户输入她的管理密码,则需要帮助安装Mac Malware。
Flashback.g利用两个不同的Java错误,但两者都是修补了几个月甚至几年的补丁。FlashBack.r,作为Intego调用它,是第一个针对未被捕获的或“零日”的Java错误。
Oracle和Apple的Java更新之间的七周延伸不会丢失安全研究人员。
“为什么Apple没有在Mac用户被犯罪分子受害之前部署这些修复,尚不清楚,”Chet Wisniewski是基于U.K.的供应商Sophos的安全研究员。星期三博客。“幸运的是,一旦它成为一个问题,公司就会很快回复。”
Mac用户可以通过访问多个网站之一,包括在内,确定他们的机器是否安装了Java,包括这个,或通过从应用程序文件夹中的实用程序子文件夹中启动终端,然后在没有引号的情况下键入“Java -Version”。
如果Java不在Mac上,则将出现版本号或消息“无Java运行时支持,请求安装”。
用户还可以从浏览器中禁用Java插件。(安全公司Rapid7创造了一个短片视频描述如何在Mac上的Safari,Chrome和Firefox中做到这一点。)
Java漏洞并不是新的,但他们已经一段时间已经过了大多数黑客的待办事项列表。
“它继续弹出一个大约一年的主要矢量,然后突然出现了一个”哦垃圾“时刻......立即让你的Java修补,”Ncircle安全的安全操作总监Andrew Storm说,今天通过即时消息的采访。“Java不经常在我的雷达上,但是当它击中屏幕时,这是一个很大的交易。”
和暴风雨认为他知道为什么:Java不是曾经是什么。
“越来越多的人正在获得Adobe产品,最新的[比Java]更常见的是,所以它在心灵中是新鲜的,并获得更多新闻报道,”风暴说。
Storm有一个点:Adobe已经修补了它的流行Flash Player,例如今年三次。
wisniewski敦促用户的Mac OS x 10.5 - 昵称豹 - 以及早些时候立即禁用Java插件。Apple不再支持具有安全更新的那些版本,包括Java的修补程序。
根据Web指标公司的网络应用程序,狮子和雪豹在上个月在线上网的所有MAC中有大约82%,在豹子或早期池中的五个MAC用户中留下了一个。
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer.或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@ix.netcom.com.。
阅读更多关于安全的信息在Computerworld的安全主题中心。
这个故事,“Apple Patches Mac Java零点Bug”最初发布Computerworld. 。