Mozilla將針對惡意Java插件進行屏蔽
Mozilla已經針對Firefox設置了一個惡意Java插件屏蔽黑名單。據安全博客Brian Krebs介紹,上周甲骨文公司發布了一個修復Java插件漏洞的更新,但是Mozilla開發人員發現,這個更新沒有刪除舊版本的代碼,使得系統仍然留 下了漏洞代碼,從而使得遺留代碼成為新的漏洞。對此,Mozilla不得不將屏蔽黑名單進行了修改,對這一惡意Java插件進行屏蔽。
而來自Mozilla的開發人員和管理員的論壇Bugzilla上的信息表明,Mozilla目前還沒有對這一漏洞發表任何消息。產生新漏洞的這一插件名叫“Java Deployment Toolkit”,該插件在2008年4月所發表的Java 6 update 10中就被發現存在漏洞,之前的版本為6.0.200.2。JDT(Java Deployment Toolkit的簡稱)插件以簡化開發人員發布應用開發的程序,同時通過建立一個可透過網站執行程序的通道來方便開發人員對程序進行維護。但是該插件當時被發現的漏洞允許黑客在目標電腦上執行遠端程序,而且用戶只要點擊一個網頁就可能被黑客攻擊。甲骨文在上周四發布了Java 6 update 20,修補了3個Java插件的安全漏洞。但是沒想到,新的問題又發生了。
據論壇Bugzilla透露,Mozilla已經通過Firefox的更新機制對屏蔽黑名單進行了修改。用戶可以免費的通過Firefox的更新對造成這一漏洞的插件進行屏蔽或關閉。Mozilla表示,黑名單不會對系統軟件造成誤傷。
有研究報告顯示,一些補丁對漏洞不能起到作用,新版本和舊版本往往在過渡期間會出現更多的錯誤和混亂。而且針對Java插件的更新補丁往往沒有引起開發商的高度重視。特別是一些Firefox和IE用戶,在安裝各類Java插件的時候,往往沒有得到相關的安全提示,只有在漏洞大范圍的爆發時,才會有相應的通知。
【編輯推薦】
