甲骨文公司昨日發(fā)布了兩個(gè)針對(duì)Java零日（zero day）漏洞的帶外（out-of-band）安全更新，其中漏洞CVE-2013-0422在發(fā)現(xiàn)當(dāng)天就已被攻擊，并已經(jīng)添加到了Blackhole和Nuclear Pack開發(fā)套件兩款軟件當(dāng)中。

安全專家建議用戶在安裝補(bǔ)丁程序之前停用Java，該漏洞使得黑客能夠在系統(tǒng)中遠(yuǎn)程登錄并執(zhí)行任意代碼。

另外一個(gè)漏洞是CVE-2012-3174，通過遠(yuǎn)程攻擊，黑客能夠?qū)⒂脩魧?dǎo)向一個(gè)惡意站點(diǎn)。

在官方博客中，甲骨文公司稱這兩個(gè)漏洞只影響Web瀏覽器下的Java 7用戶，而對(duì)于服務(wù)器端、桌面應(yīng)用端以及嵌入式設(shè)備的Java用戶則沒有影響。甲骨文官方建議用戶盡快安裝補(bǔ)丁更新程序。

除CVE-2013-0422和CVE-2012-3174漏洞更新之外，甲骨文還將Java的默認(rèn)安全級(jí)別設(shè)置為“高”，也就是說用戶需要對(duì)任何自簽名和未簽名的應(yīng)用程序進(jìn)行授權(quán)才能夠運(yùn)行。

甲骨文官方稱，這樣做的目的是，在應(yīng)用程序運(yùn)行之前，受信任用戶訪問惡意網(wǎng)站的行為都會(huì)得到提示。與此同時(shí)，系統(tǒng)對(duì)惡意程序也將拒絕執(zhí)行。

作為最受歡迎的編程語(yǔ)言，Java的各種插件也是黑客最泛濫的領(lǐng)域，他們往往通過惡意網(wǎng)站來進(jìn)行偷渡式下載攻擊（drive-by download attack）。而根據(jù)最新的調(diào)查顯示，偷渡式下載攻擊在2013年仍然是最常用的黑客攻擊手段。

甲骨文公司的季度安全補(bǔ)丁更新將在北京時(shí)間1月16日發(fā)布，而本次的帶外安全更新是在季度安全補(bǔ)丁更新之前發(fā)布。據(jù)悉，本次更新將包含86個(gè)補(bǔ)丁程序，涵蓋大量的Oracle軟件產(chǎn)品。其中MySQL數(shù)據(jù)庫(kù)更新共18個(gè)，有2個(gè)MySQL漏洞能夠讓黑客在無需用戶名和密碼的情況下進(jìn)行遠(yuǎn)程攻擊。更多關(guān)于Oracle安全更新的信息，敬請(qǐng)關(guān)注后續(xù)報(bào)道。