Laputa 发表于 2011 年 11 月 17 日 10:41:39

Mozilla將屏蔽惡意Java外掛程式 設定黑名單




【IT技術報道】根據國外媒體報道,Mozilla已經針對Firefox設定了一個惡意Java外掛程式屏蔽黑名單。

據安全部落格Brian Krebs介紹,上周甲骨文公司發佈了一個修復Java外掛程式漏洞的更新,但是Mozilla開發人員發現,這個更新沒有刪除舊版本的代碼,使得系統仍然留下了漏洞代碼,從而使得遺留代碼成為新的漏洞。
對此,Mozilla不得不將屏蔽黑名單進行了修改,對這一惡意Java外掛程式進行屏蔽。

而來自Mozilla的開發人員和管理員的論壇Bugzilla上的訊息表明,Mozilla目前還沒有對這一漏洞發表任何訊息。
產生新漏洞的這一外掛程式名叫 「Java Deployment Toolkit」,該外掛程式在2008年4月所發表的Java 6 update 10中就被發現存在漏洞,之前的版本為6.0.200.2。
JDT(Java Deployment Toolkit的簡稱)外掛程式以簡化開發人員發佈應用開發的程式,同時通過建立一個可透過網站執行程式的通道來方便開發人員對程式進行維護。
但是該外掛程式當時被發現的漏洞容許黑客在目的電腦上執行遠端程式,而且使用者只要點擊一個網頁就可能被黑客攻擊。
甲骨文在上週四發佈了Java 6 update 20,修補了3個Java外掛程式的安全漏洞。但是沒想到,新的問題又發生了。

據論壇Bugzilla透露,Mozilla已經通過Firefox的更新機制對屏蔽黑名單進行了修改。
使用者可以免費的通過Firefox的更新對造成這一漏洞的外掛程式進行屏蔽或關閉。Mozilla表示,黑名單不會對系統軟體造成誤傷。

有研究報告顯示,一些修改更新對漏洞不能起到作用,新版本和舊版本往往在過渡期間會出現更多的錯誤和混亂。
而且針對Java外掛程式的更新修改更新往往沒有引起開發商的高度重視。
特別是一些Firefox和IE使用者,在安裝各類Java外掛程式的時候,往往沒有得到關聯的安全提示,只有在漏洞大範圍的爆發時,才會有相應的知會。          
页: [1]
查看完整版本: Mozilla將屏蔽惡意Java外掛程式 設定黑名單