昇陽釋出JRE更新套件　防堵遠端執行任意程式碼漏洞

昇陽(Sun)日前發布安全弱點警告，指Java執行環境(Java Runtime Environment；JRE)當中存在多項漏洞，在這些漏洞之中，最嚴重者可使遠端攻擊者執行任意程式碼，其危害可謂不輕，因此該公司呼籲，凡使用JDK及JRE 6 Update 6(含)以前版本、JDK及JRE 5.0 Update 16(含)以前版本、SDK及JRE 1.4.2_17(含)以前版本、SDK及JRE 1.3.1_22(含)以前版本等系統之用戶，都應趕緊安裝昇陽所提供之更新套件，藉以填強這些弱點。據悉，JRE允許使用者藉由瀏覽器、或單獨使用等方式，來執行Java應用程式，然在此過程當中，卻被證實存在多項漏洞，其中經昇陽編號為238628者，係在JRE中有關XML資料處理方面的安全弱點；編號238666者，是在JRE中處理表單的安全弱點，並可能允許權限的提升；編號238687者，是在JRE中Scripting語言支援方面的安全弱點。此外，編號238905者，係指Java Web Start的多個安全弱點，且也可能允許權限的提升；編號238965者，為存在JMX當中的安全弱點；編號為238966者，是在JDK/JRE安全靜態版本中的安全弱點；編號為238967者，係在JRE Virtual Machine中的安全弱點，可能允許未受信任的應用程式或Applet提升權限；編號238968者，則是在JRE中的安全弱點，可能允許規避相同來源政策(Same Origin Policy)。至於諸多弱點的影響範圍，則如本文第一段所述，包括JDK及JRE 6 Update 6(含)以前版本等系統，均可能因這些漏洞而遭受侵擾，至於JDK及JRE 6 Update 7、JDK及JRE 5.0 Update 16、SDK及JRE 1.4.2_18、SDK及JRE 1.3.1_23等其他版本系統，則無這方面的疑慮；但昇陽仍提醒，即使用戶安裝最新版本的Java，舊版本的Java仍可能持續存在電腦中，假設已確定不再需要這些舊版Java，便宜透過相關指令來進行移除。(明雲青)