据国外媒体报道,在美国国土安全部(The Department of Homeland Security)警告电脑用户禁止使用甲骨文Java软件以免遭到黑客攻击后,甲骨文在当地时间周日发布了一个Java紧急更新补丁。
但是,过去数年一直致力于研究Java漏洞的波兰Security Explorations公司Java安全专家亚当-戈迪亚克(Adam Gowdiak)表示,“甲骨文的此次更新并没有解决数个严重的安全问题。
“我们到现在还不敢通知用户可以安全的使用Java。”戈迪亚克说道。
甲骨文于当地时间周日在自己的安全博客中发布更新 ,宣布已经修复了Java 7中两个针对浏览器的漏洞。此外,甲骨文还将Java的默认安全设置上调至“高”,这增加了可疑程序不经用户许可而运行的难度。
Java是一种电脑程序语言,能够让程序开发员利用代码编写软件,这种软件将能够在各种类型的电脑上运行,其中包括搭载微软Windows、苹果OS X和Linux操作系统的电脑,普通电脑用户则可以通过在浏览器内使用Java插件来更好的访问网页内容。有分析师预计,目前全球范围内大约有超过10亿台设备安装了Java软件。
在当地时间周四,美国国土安全部以及部分安全专家曾警告称,黑客已经找到了利用安装了Java软件的浏览器在用户不知情的情况下安装恶意软件的方法。通过这一漏洞,黑客可以轻松盗窃用户个人信息,或使受感染的计算机成为僵尸广告网络中的一员。甲骨文表示,此次曝光的漏洞仅对最新的Java 7版本有影响。
应该说,Java的普及性恰恰是该软件成为黑客主要攻击目标的最主要原因。据安全软件厂商卡巴斯基实验室(Kaspersky Lab)公布的数据显示,甲骨文的Java已经成功超过Adobe公司的Reader成为被黑客攻击最频繁的软件。去年,大约有50%的黑客攻击都同Java有关, Adobe Reader排名第二,占到了28%的份额,Windows组件和Internet Explorer则占据了3%的份额。
值得一提的是,美国国土安全部此前就曾发布警告称,黑客可以诱骗用户访问恶意网站,并借助Java软件漏洞感染用户的个人电脑,这种攻击还可以利用受感染电脑通过上传恶意软件的方式来感染合法网站。而且,黑客甚至可以通过这一漏洞感染用户信任的网站,即便他们此前在访问这些网站时没有发现任何问题。
事实上,早在今年8月Java被爆出一个类似的安全漏洞后,安全专家就一直在审查Java的安全性。一些安全专家甚至建议用户,“只有在必要的时候才使用这一软件。”