这几个月,Java一直就没让大家省心过。Oracle在周一宣布,Java 7 Update 17解决了两个单独的漏洞,其中一个还是已经被有些人在利用的。周二的时候,美国政府就针对该版更新,"再次"建议——Java应该更新,但浏览器插件应被禁用。美国国土安全部下属国家网络安全部门的计算机应急准备小组(US-CERT),也出台了针对Java漏洞的提示。
这里摘录的解决方案部分: • 应用这个更新——这些问题已在Java 7 update 17和Java 6 Update 43上被解决。详情请参考Orcale Security Alert(甲骨文安全警示)CVE-2013-1493。如非必要,禁用浏览器里的Java插件——即使已更新至Java 7 Update 17。这有助于减轻未来的漏洞风险。 • 禁用web浏览器里的Java——从Java 7 Update 10起。可通过Java控制面板小程序禁用浏览器里的Java内容。详情请参阅Java文档。 • 限制Java applets的访问——网络管理员无法禁用web浏览器里的Java,但限制其访问也有助于减轻漏洞风险(例如,可通 过使用代理服务器规则)。将.jar和.class文件的web请求,阻止(blocking)或加入白名单,有助于阻止不被信任的来源。过滤一个包含 Java User-Agent的header,或许也有效。 前两点适用于所有用户,并附上我们(外媒TNW)的建议: "无论你使用什么样的浏览器或操作系统,如果不需要,就请你卸载掉Java!若你确实需要,请在浏览器中默认禁用Java;在需要时,使用第二个浏览器, 并将安全性设置为'高'——这样,它就会在家在一个applet前提示你!"话虽这么说,但请确保你的Java 7已升级到Update 17。 事实上,这些规则可以阻挡住上月在多个公司计算机上的攻击——包括苹果、Facebook和微软。完全卸载掉Java也可以。 |
