美国政府：升级软件、打补丁都没用 除非禁用浏览器Java插件

三善昵

这几个月，Java一直就没让大家省心过。Oracle在周一宣布，Java 7 Update 17解决了两个单独的漏洞，其中一个还是已经被有些人在利用的。周二的时候，美国政府就针对该版更新，"再次"建议——Java应该更新，但浏览器插件应被禁用。美国国土安全部下属国家网络安全部门的计算机应急准备小组(US-CERT)，也出台了针对Java漏洞的提示。



这里摘录的解决方案部分：

• 应用这个更新——这些问题已在Java 7 update 17和Java 6 Update 43上被解决。详情请参考Orcale Security Alert(甲骨文安全警示)CVE-2013-1493。如非必要，禁用浏览器里的Java插件——即使已更新至Java 7 Update 17。这有助于减轻未来的漏洞风险。

• 禁用web浏览器里的Java——从Java 7 Update 10起。可通过Java控制面板小程序禁用浏览器里的Java内容。详情请参阅Java文档。

• 限制Java applets的访问——网络管理员无法禁用web浏览器里的Java，但限制其访问也有助于减轻漏洞风险(例如，可通过使用代理服务器规则)。将.jar和.class文件的web请求，阻止(blocking)或加入白名单，有助于阻止不被信任的来源。过滤一个包含 Java User-Agent的header，或许也有效。


前两点适用于所有用户，并附上我们(外媒TNW)的建议：

"无论你使用什么样的浏览器或操作系统，如果不需要，就请你卸载掉Java！若你确实需要，请在浏览器中默认禁用Java；在需要时，使用第二个浏览器，并将安全性设置为'高'——这样，它就会在家在一个applet前提示你！"话虽这么说，但请确保你的Java 7已升级到Update 17。

事实上，这些规则可以阻挡住上月在多个公司计算机上的攻击——包括苹果、Facebook和微软。完全卸载掉Java也可以。

三善昵

悲催了呢{:5_113:}