美国安部发出个人电脑严重安全漏洞警告 禁用JAVA

mangrove

美国政府在10日晚间发出警告，「Java」(爪哇)软体有严重安全漏洞并存在于大部分个人电脑(PC)里，可能会让这些PC在连线时，曝露在遭恶意攻击的风险里，让PC被骇客所利用。

　　国内安全部辖下的电脑紧急应变组织US-CERT表示，这漏洞已被人利用来发动恶意攻击，因此提醒PC与苹果Mac等用户，关闭自己电脑里的Java软体，直到Java的问题被解决为止。

　　国安部建议电脑使用者把其电脑浏览器(browser)中的「Java」软体插件立刻关闭，以避免可能的骇客攻击。这项建议是在电脑安全专家提出疑虑后，国内安全部10日晚以紧急通报的形式发出的。专家相信骇客已找到Java软体程式的一个缺陷，这个缺陷可使电脑的安全门户大开，让犯罪活动和高科技捣蛋行为通行无阻。

　　关闭浏览器Java软体的步骤很简单，但不同的网路浏览器关闭Java程式的步骤不尽相同。如果使用Mozilla Firefox(火狐)浏览器，使用者可在浏览器「工具」(Tool)选单下，点选「选项」(Option)，待「对话框」(Dialog Box)出现后，点选「内容」，在点选「内容」之后出现的「对话框」中，移除「启用JavaScript」，也就是不选用「启用JavaScript」。

　　Mozilla于11日宣称，自即日起，Mozilla浏览器在载入网页时，会自动拦截Java程式，除非使用者启用Java程式。

　　使用微软IE电脑浏览器的使用者可参考KrebsonSecurity.com网站的说明，关闭Java程式。

　　使用Google Chrome浏览器的电脑使用者可前往Chrome://plugins确认Java plugin已关闭。

　　Safari浏览器的使用者可点选「Preference」、「Security」再移除「启用Java」。

　　Java是一种广泛被使用的电脑语言，可让程式设计师撰写许多网路程式，并适用于各种电脑操作系统。总部在加州的甲骨文公司到11日晚并未对国内安全部的建议加以评论。

　　US-CERT警告，骇客可利用这个Java漏洞，在系统里执行任意程式码(arbitrary code)来控制一台电脑。

　　防毒软体商AlienVault Labs研究部经理巴斯柯(Jaime Blasco)形容，这是十分严重的漏洞，因为它会冲击「每一个独立系统和每一位独立用户」。这漏洞的本质让其成为有心人「极易容攻击和瞒过系统」。他说，每当软体出现问题时，甲骨文向来会在一周到一个月的时间内，才发表其解决方案。

　　这次Java的安全漏洞属于所谓零时差攻击(zero-day exploits)，即在防毒软体商或软体公司发现问题前，骇客已利用它来发动攻击，给电脑用户造成严重伤害。在Java漏洞被公开之前，已有违法者和骇客掌握这漏洞，并出现针对漏洞而来的4种不同的恶意软体配件，卖给有心人来发动恶意攻击。

mangrove

我试着关闭java script，上网体验一夜回到解放前啊

maodoubao

真的假的？

mangrove

maodoubao 发表于 2013-1-14 00:05
真的假的？

不知道。。。转的。

Javascript和Java没有关系吧？如果是java出问题应该是不能用Java plugin才对吧？

juvenMPG

“
如果使用Mozilla Firefox(火狐)浏览器，使用者可在浏览器「工具」(Tool)选单下，点选「选项」(Option)，待「对话框」(Dialog Box)出现后，点选「内容」，在点选「内容」之后出现的「对话框」中，移除「启用JavaScript」，也就是不选用「启用JavaScript」。
”

这个明明说的就是javascript。 怎么说是java了， 吓我一大蹦

maodoubao

看上去指的是JavaScript

tusizi33

标题太误导了，差点吓死我了。
不让用java让我们java程序猿怎么活？

findcaiyzh

看晕了，java还是javascript?

seth_chen

无视

只上安全网站就完了

mangrove

这文章有点问题，一会说java，一会说javascript，一会又说java plugin

IsDonIsGood

javascipt和java半毛钱关系没有，这文章胡扯啥嘞？

商务车

混淆概念，耸人听闻

kr2000

忽略火狐里禁用javascript那段话就通了

hanhan0408

是java in web browsers.

Oracle has just released Security Alert CVE-2012-0422 to address two vulnerabilities affecting Java in web browsers.  These vulnerabilities do not affect Java on servers, Java desktop applications, or embedded Java.

https://blogs.oracle.com/security/entry/security_alert_for_cve_2013

0.01

1. 从 Windows 里卸载 java 7u9 或 7u10 (java 6 以下没有这个问题，但有别的问题）
2. 到 java.com 去下载 java 7u11
3. 安装 7u11
4. 如果有网页要在你的机器上运行 java 程序，会跳出一个警告窗口，让你选择

7u11 并没有解决问题，只是多了一个警告窗口……

findcaiyzh

应该说Java Applet.

matthew2011

不能用Javascript很多网站都工作不了，交互性体验也没了

future2521

就是啊，这谁写的新闻啊，一点常识都没有Javascript跟Java没关系啊

COKE

卡巴司机也发出警告了，说升级到10的版本一样也会有问题，但是能禁用，6以前的也有问题

iamiii

上周，Java 7被曝存在重大安全漏洞后，美国国土安全部建议用户禁用Java 7浏览器插件。苹果也第一时间做出反应，在Mac电脑中禁用Java。

　　Java 7的安全漏洞容易被黑客利用，通过安装第三方软件对用户电脑发动攻击，增加用户身份信息被盗用的风险。此外，该漏洞还可以被用来实施拒绝服务(DoS)攻击，导致网络瘫痪。

　　Java 7漏洞被曝光后，苹果对此反应非常迅速，已通过技术手段让所有已经安装Java的Mac电脑将自动禁用Java，直到补丁发布。该公司更新了Xprotect.plist黑名单文件，要求Java的最低版本为1.7.0_10-b19，而目前最新的Java 7版本为1.7.0_10-b18，这意味着目前Mac电脑中已经安装的Java会自动被禁用。

lubber

学习

juvenMPG

Java原来都出1.7拉