甲骨文公司昨日發布了兩個針對Java零日（zero day）漏洞的帶外（out-of-band）安全更新，其中漏洞CVE-2013-0422在發現當天就已被攻擊，并已經添加到了Blackhole和Nuclear Pack開發套件兩款軟件當中。

安全專家建議用戶在安裝補丁程序之前停用Java，該漏洞使得黑客能夠在系統中遠程登錄并執行任意代碼。

另外一個漏洞是CVE-2012-3174，通過遠程攻擊，黑客能夠將用戶導向一個惡意站點。

在官方博客中，甲骨文公司稱這兩個漏洞只影響Web瀏覽器下的Java 7用戶，而對于服務器端、桌面應用端以及嵌入式設備的Java用戶則沒有影響。甲骨文官方建議用戶盡快安裝補丁更新程序。

除CVE-2013-0422和CVE-2012-3174漏洞更新之外，甲骨文還將Java的默認安全級別設置為“高”，也就是說用戶需要對任何自簽名和未簽名的應用程序進行授權才能夠運行。

甲骨文官方稱，這樣做的目的是，在應用程序運行之前，受信任用戶訪問惡意網站的行為都會得到提示。與此同時，系統對惡意程序也將拒絕執行。

作為最受歡迎的編程語言，Java的各種插件也是黑客最泛濫的領域，他們往往通過惡意網站來進行偷渡式下載攻擊（drive-by download attack）。而根據最新的調查顯示，偷渡式下載攻擊在2013年仍然是最常用的黑客攻擊手段。

甲骨文公司的季度安全補丁更新將在北京時間1月16日發布，而本次的帶外安全更新是在季度安全補丁更新之前發布。據悉，本次更新將包含86個補丁程序，涵蓋大量的Oracle軟件產品。其中MySQL數據庫更新共18個，有2個MySQL漏洞能夠讓黑客在無需用戶名和密碼的情況下進行遠程攻擊。更多關于Oracle安全更新的信息，敬請關注后續報道。