【IT168 新闻】Sun公司计划将在未来的几天内发布一个安全更新,这个安全更新是为了补上一个严重的安全漏洞,这个漏洞存在于当前大多数的版本的Java运行环境(JRE)中。一周前Sun还刚刚提供了一个补丁,来解决早期版本中的这个同样问题的漏洞,现在仅仅过了一周,又要出来一个安全更新包。Sun公司这种处理问题的不利索,拖拖拉拉行为引起了许多安全研究员的批评,指责该公司的安全部门小组办事效率太低。
Marc Maiffret,eEye 数字安全部门的首席负责人说:“Sun公司成为了目前为数不多的公司之一,这些公司不能同一时间发布和它软件不同版本相对应的安全升级包。这些公司将用户置于一个大的危险中。希望Sun公司能将他们的安全和开发过程周期缩短,从欧洲的中世纪走出来,不要那么缓慢”。
Maiffret说这个漏洞将会影响那些装了Windows的操作系统的机器,使得那些基于WebStart(一种自动管理更新你下载应用程序的部署方案,并保证始终运行应用程序的最新版本,从而可避免复杂的安装或升级过程)应用程序出现栈缓冲器溢出。这个漏洞很容易引诱用户到一个布置了陷阱的网站,从而让黑客悄无声息的在你的机器上运行恶意代码。
根据该公司的发言人Russ Castronovo说在今年的6月29日,Sun公司在Java运行环境5(JRE 5)中修补这个漏洞,并且公司在接下来的几天内开始针对JRE 6发布补丁。
然而到目前为止,11天已经过去了,或许还要更多天,针对JRE 6这个补丁迟迟未发布,这导致Maiffret开始指责Sun公司的安全小组。这是有原因的,因为这个使得网络犯罪分子有更充足的时间倒过来研究这些补丁,通过补丁的一些行为功能,得到漏洞的本质原因。黑客具有很高深的计算机知识,他们能设计出自己的一套陷阱。他说Sun公司应该在所有的平台上同时安装补丁,而不是现在只是在JRE5上有,而在JRE6上没有。
“当你单独为不同的平台打补丁,那么你就能让一半人收到保护不受攻击,而让另外一半人暴露在黑客的攻击目标中。你就使得这一部分人非常的危险。”
Castronovo没有立即就补丁发布时间发表意见。
目前为止,Sun公司还没有发布JRE6的补丁给它的用户们,我们中已经有安全意识的应该到Sun公司的网站下JRE5的补丁,使我们免遭攻击。
1
[an error occurred while processing this directive]
