甲骨文昨天發(fā)布了三個Java更新 。 重要的是要注意它們包含一些與安全性相關(guān)的更改。 一段時間以來，已經(jīng)宣布了其中的大多數(shù)更改，并且首先要注意的是Oracle按計劃交付。

甲骨文公司Java平臺安全經(jīng)理Milton Smith最近在DevoxxUK上做了題為“ 用Java保護(hù)未來 ”的演講，他在其中解釋了Oracle產(chǎn)品中處理安全性的總體過程，并概述了Java CPU。 那些為期4個月的更新涵蓋了所有Java系列，并且據(jù)此，從昨天開始，我們還看到了Java SE 6 Update 45和新的Java SE Embedded 7 Update 21，它們解決了有關(guān)這些Java系列的相同問題。

（我是最終用戶）

發(fā)行說明列出了一些新內(nèi)容。 它們中的大多數(shù)針對最終用戶，旨在提供更安全的Java運(yùn)行時。 從最重要的更改開始，現(xiàn)在刪除了Java控制面板（JCP）的“安全滑塊”上的較低設(shè)置和自定義設(shè)置。 從根本上講，這意味著未簽名的小程序不會再運(yùn)行而不會發(fā)出警告。 此外，根據(jù)Java控制面板中設(shè)置的安全級別和用戶的JRE版本，可能完全不允許自簽名或未簽名的應(yīng)用程序運(yùn)行。 默認(rèn)設(shè)置為“高”允許除本地小程序以外的所有小程序都可以在安全的JRE上運(yùn)行。 如果用戶運(yùn)行的是不安全的JRE（<7），則僅允許運(yùn)行使用由公認(rèn)的證書頒發(fā)機(jī)構(gòu)頒發(fā)的證書簽名的應(yīng)用程序。

受信任并已簽名（來源：Oracle）

作為一個簡短的指導(dǎo)原則，在（！）您已經(jīng)同意啟動瀏覽器通常也會詢問您的活動內(nèi)容之后，最終用戶現(xiàn)在在瀏覽器中看到兩種不同的Java警告消息。 所有藍(lán)色和Java都是有效的有效內(nèi)容（將圖片與“可信任和已簽名”右側(cè)進(jìn)行比較）。 這種類型的應(yīng)用程序通常風(fēng)險較低，但是Oracle建議您檢查應(yīng)用程序名稱，發(fā)布者名稱和位置是否對您正在訪問的站點(diǎn)有意義（例如Java Detection，Oracle America，http：//www.java.com）。在java.com上）。 如果任何此信息與您不匹配或完全沒有意義，建議您單擊“取消”。

未簽名（來源：Oracle）

如果遇到未簽名或未正確簽名的應(yīng)用程序，則東西會開始變成黃色和紅色（比較圖片“ Unsigned”）。 簡而言之，您最有可能愿意修改有關(guān)執(zhí)行此類應(yīng)用程序的決定。 即使與自簽名應(yīng)用程序（沙盒與完全訪問）相比，潛在的安全風(fēng)險級別不同， 您也應(yīng)該取消并且不要運(yùn)行任何會為您生成黃色/紅色警告的應(yīng)用程序！ 如果您對完整的故事感興趣，可以深入了解有關(guān)“ Java安全提示 ”的更多信息。

除了這一非常顯著的變化，Oracle還引入了中央證書和jar黑名單存儲庫。 首次執(zhí)行Java applet或Web Start應(yīng)用程序時，每天在客戶端計算機(jī)上更新此數(shù)據(jù)。 通過此更改，您的JRE現(xiàn)在可以致電給家，并獲取有關(guān)可能存在的不良證書和第四方罐子的最新信息。 Oracle沒有透露有關(guān)其背后流程的任何信息，但我想，該機(jī)制將用于完全阻止大多數(shù)（全部）已知漏洞利用工具包。

您可以獲得大量的安全修復(fù)程序！ 有一個完整的列表可用，它稱為“ Oracle Java SE Risk Matrix ”。 此重要補(bǔ)丁更新包含針對Oracle Java SE的42個新的安全修復(fù)程序。 其中的39個漏洞無需身份驗證即可遠(yuǎn)程利用，即，可以通過網(wǎng)絡(luò)利用這些漏洞而無需用戶名和密碼。 如果沒有提示您更新，則應(yīng)盡快執(zhí)行此操作。 從java.com下載適用于您系統(tǒng)的JRE，并保持最新狀態(tài)！

（我是開發(fā)人員）

如果您正在使用Applet，瀏覽器中的JavaFX應(yīng)用程序或Java WebStart應(yīng)用程序，則可能需要更改開發(fā)過程以支持簽名的應(yīng)用程序。 通過引入的更改，最有可能的是最終用戶在自簽名或未簽名的情況下都無法運(yùn)行您的應(yīng)用程序。 有關(guān)如何執(zhí)行操作的詳細(xì)概述，請參閱Java教程中的簽署小程序指南 。

現(xiàn)在，我們有一個服務(wù)器JRE 。 如果您需要服務(wù)器上的JRE并且不希望運(yùn)行RIA，請下載Java SE Server JRE 。 此版本的Java SE Server JRE不包含Java插件或Java Web Start支持，將來的版本中可能會刪除其他工具。

還引入了一些行為更改。 默認(rèn)情況下，RMI屬性java.rmi.server.useCodebaseOnly設(shè)置為true。 這可能會導(dǎo)致基于RMI的應(yīng)用程序損壞。 請注意包含java.rmi.UnmarshalException的堆棧跟蹤，該java.rmi.UnmarshalException包含嵌套的java.lang.ClassNotFoundException。

在Windows平臺上，改進(jìn)了對指定給Runtime.exec（String），Runtime.exec（String，String []）和Runtime.exec（String，String []，File）方法的命令字符串的解碼，以符合規(guī)范更緊密。 對于使用這些方法中的一種或多種與程序名稱中包含空格的命令，或者使用未正確引用的命令調(diào)用這些方法的應(yīng)用程序，可能會導(dǎo)致問題。

更多信息

開發(fā)人員的官方文檔中有很多內(nèi)容。 最終用戶文檔的發(fā)展也非常Swift， java.com是一個很好的起點(diǎn)。 對于我的德語閱讀，您還可以在heise.de/developer上找到更詳細(xì)的報道。

參考： Java 7 Update 21從我們的JCG合作伙伴 Markus Eisele在Java企業(yè)軟件開發(fā)博客上詳細(xì)進(jìn)行了安全改進(jìn) 。

翻譯自: https://www.javacodegeeks.com/2013/04/java-7-update-21-security-improvements-in-detail.html

總結(jié)

以上是生活随笔為你收集整理的Java 7 Update 21安全改进的详细信息的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。