This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

苹果获得积极的 - 浏览器支持最新的OS X Java安全性更新撕裂了

Filed Under: Featured, Java, Vulnerability

跟踪的Java版本是否是最新的,最安全的,可以是一个有点棘手,特别是为苹果用户。

甲骨文的Java托管 ,修补其产品上周二,微软和Adobe等。但是,它使用了一个不同的日(星期二)和一组不同的个月的不同的产品。 (大多数Oracle产品的补丁季度为Java,它每年三次)。

你的日记:甲骨文的重要补丁更新

重要补丁更新(CPU)是集合的星期二发布的安全补丁,到17月的一天最接近。对于大多数产品,补丁来每年四次:

2013年1月15日- 2013年4月16号- 2013年7月16日- 2013年10月15日

对于甲骨文的Java SE,补丁来每年三次:

2013年2月19日- 2013年6月18号- 2013年10月15日

的修正被视为太关键了,等待下一个CPU发出临时安全警报。

一旦Oracle修补Java中,苹果再吸的变化,其Java代码树和问题它自己的更新,但你永远也不可能很不知过了多久,要采取。

苹果声名狼藉了, 直到2012年4月推出了一个补丁二月起,已提供给其他人,恶意软件编写者的机会,从而留下了漫长的窗口。他们用这种窗口(没有双关语意) 的Mac电脑感染了木马被称为OSX / Flshplyr的-B建立一个巨型的僵尸网络

这个月,事情已经平静和更可预测。甲骨文更新的Java 2012年10月16日周二如预期,苹果也跟着一天以后。

最新的版本是:

供应商 释放 当前版本
甲骨文(所有操作系统) Java SE 7中 1.7.0_09-B05
苹果(仅适用OS X) Java SE 6中 1.6.0_37-B06

一段时间以来,裸安全的建议,已经完全摆脱了Java ,如果你不需要它,或禁止从您的浏览器 ,如果你只使用Java运行预装的应用程序。

保持Java的浏览器中删除的风险,敌对的小程序 - 特别精简的Java程序嵌入到网页中。

就好像苹果一直听。

首先,它停止发货OS X的Java预装OS X的狮子(10.7)走了出来。狮子和美洲狮(10.8)包括程序存根(/ usr / bin中/ JAVA),提供获取和安装Java如果你尝试过使用它,但它不是默认安装的。

然后,苹果发布了一个更新,将关闭您的浏览器中的Java,如果你没有使用任何一段时间的小程序,在网络上,从而减少不必要地暴露于敌对的Java代码。

而在其最新的安全更新,苹果已经更加积极的。

库比提诺的编码器不仅碰上了他们的Java版本,Oracle的最新版本的Java SE 6(1.6.0_37),但也完全撕开了浏览器插件组件。

所以,在你应用最新的OS X的Java更新 -你只需要,如果你已经选择了安装Java -您将不再能够在您的浏览器中运行applet

这听起来像一个错误,但对于大多数用户来说,这是一个功能。你会发现,如果你真的需要在您的浏览器中的Java,因为苹果中添加一个占位符填充任何小应用程序窗口的插件,用“缺少插件”的警告和下载按钮。

然后,您可以选择是否安装缺少的插件或学习生活离不开它。


唯一的缺点是,来获取所需的小程序插件,您必须安装Oracle的Java运行时与苹果的Java并行。

这会让你的两倍多在您的Mac上的Java:苹果最新版本的Java SE 6中,和Oracle的最新版本的Java SE 7。 (你不能获得一个Oracle Java运行时环境相匹配的苹果 - Oracle不建立一个OS X的Java 1.6.0味的,因为这被视为苹果公司的工作。)


现在你要回答的问题是,“我应该得到更新,或等待?”

我建议你​​不应该等待。

这些最新的Java更新修复30个安全漏洞,在总的洞,但可能允许远程执行代码;其中23个被归类为甲骨文的访问复杂的“低”。接入较低的复杂度,更可能的是,一个工作漏洞可以被发现和使用。

甲骨文已经发布了一份详细的风险矩阵 ,如果你不相信更新已。

欲了解更多信息,这里有一些有用的链接,一般和具体的:

•苹果的安全通知: 一般着陆页(HT1222)

•苹果的安全通知: Java的修复2012年10月(HT5549)

•Oracle的CPU和安全提醒: 登陆页

•甲骨文的Java SE发行说明: 一般着陆页

•甲骨文的Java SE发行说明: 1.6.0_37-B06(苹果公司2012年10月版)

•甲骨文的Java SE发行说明: 1.7.0_09-B05(Oracle的2012年10月版)

•甲骨文的Java SE风险矩阵: 2012年10月重要补丁更新

希望这会有所帮助。

You might like

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog