甲骨文昨天发布了三个Java更新 。 重要的是要注意它们包含一些与安全性相关的更改。 一段时间以来,已经宣布了其中的大多数更改,并且首先要注意的是Oracle按计划交付。
甲骨文公司Java平台安全经理Milton Smith最近在DevoxxUK上做了题为“ 用Java保护未来 ”的演讲,他在其中解释了Oracle产品中处理安全性的总体过程,并概述了Java CPU。 那些为期4个月的更新涵盖了所有Java系列,并且据此,从昨天开始,我们还看到了Java SE 6 Update 45和新的Java SE Embedded 7 Update 21,它们解决了有关这些Java系列的相同问题。
(我是最终用户)
发行说明列出了一些新内容。 它们中的大多数针对最终用户,旨在提供更安全的Java运行时。 从最重要的更改开始,现在删除了Java控制面板(JCP)的“安全滑块”上的较低设置和自定义设置。 从根本上讲,这意味着未签名的小程序不会再运行而不会发出警告。 此外,根据Java控制面板中设置的安全级别和用户的JRE版本,可能完全不允许自签名或未签名的应用程序运行。 默认设置为“高”允许除本地小程序以外的所有小程序都可以在安全的JRE上运行。 如果用户运行的是不安全的JRE(<7),则仅允许运行使用由公认的证书颁发机构颁发的证书签名的应用程序。
作为一个简短的指导原则,在(!)您已经同意启动浏览器通常也会询问您的活动内容之后,最终用户现在在浏览器中看到两种不同的Java警告消息。 所有蓝色和Java都是有效的有效内容(将图片与“可信任和已签名”右侧进行比较)。 这种类型的应用程序通常风险较低,但是Oracle建议您检查应用程序名称,发布者名称和位置是否对您正在访问的站点有意义(例如Java Detection,Oracle America,http://www.java.com)。在java.com上)。 如果任何此信息与您不匹配或完全没有意义,建议您单击“取消”。
如果遇到未签名或未正确签名的应用程序,则东西会开始变成黄色和红色(比较图片“ Unsigned”)。 简而言之,您最有可能愿意修改有关执行此类应用程序的决定。 即使与自签名应用程序(沙盒与完全访问)相比,潜在的安全风险级别不同, 您也应该取消并且不要运行任何会为您生成黄色/红色警告的应用程序! 如果您对完整的故事感兴趣,可以深入了解有关“ Java安全提示 ”的更多信息。
除了这一非常显着的变化,Oracle还引入了中央证书和jar黑名单存储库。 首次执行Java applet或Web Start应用程序时,每天在客户端计算机上更新此数据。 通过此更改,您的JRE现在可以致电给家,并获取有关可能存在的不良证书和第四方罐子的最新信息。 Oracle没有透露有关其背后流程的任何信息,但我想,该机制将用于完全阻止大多数(全部)已知漏洞利用工具包。
您可以获得大量的安全修复程序! 有一个完整的列表可用,它称为“ Oracle Java SE Risk Matrix ”。 此重要补丁更新包含针对Oracle Java SE的42个新的安全修复程序。 其中的39个漏洞无需身份验证即可远程利用,即,可以通过网络利用这些漏洞而无需用户名和密码。 如果没有提示您更新,则应尽快执行此操作。 从java.com下载适用于您系统的JRE,并保持最新状态!
(我是开发人员)
如果您正在使用Applet,浏览器中的JavaFX应用程序或Java WebStart应用程序,则可能需要更改开发过程以支持签名的应用程序。 通过引入的更改,最有可能的是最终用户在自签名或未签名的情况下都无法运行您的应用程序。 有关如何执行操作的详细概述,请参阅Java教程中的签署小程序指南 。
现在,我们有一个服务器JRE 。 如果您需要服务器上的JRE并且不希望运行RIA,请下载Java SE Server JRE 。 此版本的Java SE Server JRE不包含Java插件或Java Web Start支持,将来的版本中可能会删除其他工具。
还引入了一些行为更改。 默认情况下,RMI属性java.rmi.server.useCodebaseOnly设置为true。 这可能会导致基于RMI的应用程序损坏。 请注意包含java.rmi.UnmarshalException的堆栈跟踪,该java.rmi.UnmarshalException包含嵌套的java.lang.ClassNotFoundException。
在Windows平台上,改进了对指定给Runtime.exec(String),Runtime.exec(String,String [])和Runtime.exec(String,String [],File)方法的命令字符串的解码,以符合规范更紧密。 对于使用这些方法中的一种或多种与程序名称中包含空格的命令,或者使用未正确引用的命令调用这些方法的应用程序,可能会导致问题。
更多信息
开发人员的官方文档中有很多内容。 最终用户文档的发展也非常Swift, java.com是一个很好的起点。 对于我的德语阅读,您还可以在heise.de/developer上找到更详细的报道。
翻译自: https://www.javacodegeeks.com/2013/04/java-7-update-21-security-improvements-in-detail.html