今天,我们的企业架构师提到最近在 JRE 1.7 中发现了一个漏洞。我找到一篇文章JRE 1.7 漏洞建议禁用 Java.
我在工作中运行 JDK 1.5 和 1.6(像许多组织一样,我们没有使用最新的技术),所以没有问题。
我在家使用 Java SE 7u6 进行开发。我正在使用 Grails、Spring Security,试图继续学习。
我已经在我的家用开发机器上的所有浏览器中禁用了 Java 插件。但是,有谁知道我的家庭开发机器是否仍然由于安装了 JDK 7 而容易受到攻击?我确实在 US-CERT 上找到了这篇文章,声明了漏洞通知:Oracle Java JRE 1.7 Expression.execute() 无法限制对特权代码的访问.
听起来只要浏览器不能运行 Applet,我就应该没问题(禁用 Java 插件时不应该这样)。但是,Java Web Start/JNLP 又如何呢?可以调用吗?除了小程序之外,这是我能想到的唯一可能值得关注的东西。
只是想知道我是否需要卸载 Java SE 7 并回退到 JDK6。
其他人在得知 JRE 1.7 的此安全问题后做了什么?
最新漏洞的详细信息尚未公开。不过,我的理解是它只影响 Java 浏览器插件。建议的缓解措施是禁用 Java 浏览器插件。没有提及非插件 Java,因此我认为可以安全地假设您的开发计算机不会仅仅因为安装了 Java 7 就容易受到攻击。
但是,Java Web Start/JNLP 又如何呢?可以调用吗?
我不这么认为。我认为可以安全地假设发现问题的人会想到潜在的攻击向量。 (但简单的常识表明,您一开始就不想启动随机 JNLP 程序......)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
