Oracle 发布紧急 Java 更新，修复关键漏洞

Posted 2023-02-21 Joyce-Luo

日前，Oracle发布了紧急Java安全更新，修复了一个关键漏洞（CVE-2016-0636，CNNVD-201603-377）。

漏洞简介

Oracle之所以如此迅速地做出回应，是因为该漏洞能轻易被利用，并且该漏洞的利用细节已经被公开。（Oracle十分明智，没有指出该利用代码的公开位置）

该漏洞的利用被广泛用于渗透代码工具包只是时间问题，所以厂商建议用户能尽快升级。

“未经过身份验证的攻击者可远程利用该漏洞，甚至，在不需要用户名和密码的情况下在网络中实施攻击。”Oracle在安全公告中称。

“为了成功利用该漏洞，需要在浏览器中运行受影响版本的目标用户访问恶意网页。该漏洞会影响用户系统的保密性、完整性和可用性。”

受影响版本

该漏洞影响Web浏览器中运行的Java SE——基于Windows、Solaris、Linux和Mac OS平台的Java SE 7 Update 97，8 Update 73，74，而不是加载和运行可信代码的Java部署。

缓解

如果用户不确定电脑中是否安装Java，可以使用Web工具检测。并且，一旦用户完成升级(获取地址)，必须确定设备中卸载了所有旧版本的Java。

JavaSE的下一个关键补丁更新定于2016年4月19日。