轉知國家資通安全會報最新通報漏洞預警
發佈編號 : TACERT-ANA-2014102908105353 發佈時間: 2014-10-29 09:00:42
事故類型:ANA-漏洞預警 發現時間: 2014-10-28 00:00:00
影響等級:高
[主旨說明:]
【漏洞預警】Oracle Java 存在暴露機敏資訊等多個弱點,請使用者儘速更新!
[內容說明:]
轉發HiNet SOC 漏洞/資安訊息警訊
目前已知會受到影響的版本為JDK and JRE 5 Update 71 (含)之前版本、 JDK and JRE 6 Update 81 (含)之前版本、 JDK and JRE 7 Update 67 (含)之前版本及 JDK and JRE 8 Update 20 (含)之前版本。
細節說明:
Oracle 官方網站公布 JAVA 存在暴露機敏資訊等多項弱點:
(1)客戶端部署的AWT 、Deployment 、JavaFX 、Libraries 子元件存在錯誤,可以被惡意使用者利用通過不受信任的Java Web Start 應用程序和不受信任的Java applets 來執行任意程式碼或提升權限。
(2)在客戶端部署的Deployment 、Hotspot 子元件存在錯誤,可以被本地端用戶利用通過不受信任的Java Web Start 應用程序和不受信任的Java applet 以提升權限。
(3)在客戶端部署的Libraries 、Deployment 、Hotspot 子元件存在錯誤,可以被惡意使用者利用通過不信任的Java Web Start 應用程序和不受信任的Java applet 進行洩露、更新、新增或刪除資料,並導致程序無法執行。
(4)在客戶端部署的2D 、Hotspot 、Libraries 子元件存在錯誤,可以被惡意使用者利用通過不信任的Java Web Start 應用程序和不受信任的Java applet 進行洩露資料。
(5)在客戶端和伺服器部署的JAXP 子元件存在錯誤,可被惡意使用者洩露資料。
(6)在客戶端和伺服器部署的Libraries 、JSSE 、Security 子元件存在錯誤,可被惡意使用者利用來更新、新增、刪除或洩漏資料。
HiNet SOC 建議使用者應儘速上網更新,以降低受駭風險。
[影響平台:]
• JDK and JRE 5 Update 71 (含)之前版本
• JDK and JRE 6 Update 81 (含)之前版本
• JDK and JRE 7 Update 67 (含)之前版本
• JDK and JRE 8 Update 20 (含)之前版本
[建議措施:]
手動下載安裝:
• JDK and JRE 5 Update 71 之後版本
網址:http://java.com/zh_TW/download/index.jsp
• JDK and JRE 6 Update 81 之後版本
網址:http://java.com/zh_TW/download/index.jsp
• JDK and JRE 7 Update 67 之後版本
網址:http://java.com/zh_TW/download/index.jsp
• JDK and JRE 8 Update 20 之後版本
網址:http://java.com/zh_TW/download/index.jsp
[參考資料:]
Oracle:
http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html
Secunia:
http://secunia.com/advisories/61609/