Oracle Patch for Java 7是否修复零日缺陷？

甲骨文今天针对Java 7发布了一个补丁。巧合的是，由于零日攻击，Java 7也成为最近攻击的目标。但现在，任何人都会猜测，新的Java 7补丁是否真正解决了零日攻击，或者到了什么程度。首先，简单回顾一下。发现了以前未知的Java漏洞，并在流行的Metasploit Framework工具中开发了概念验证（PoC）漏洞。 Metasploit是好人使用的工具，但是漏洞利用是一种漏洞利用，并且漏洞利用代码是为Metasploit开发的，这意味着漏洞利用现在已经被更多可能的攻击者掌握。已经知道了'零日'缺陷，所以希望这个补丁能够修复它们。“根据正常的Oracle补丁发布计划，下一个例程更新不应该在10月份才会发生。但是，Java是一个广受欢迎且被广泛使用的平台，Oracle可能会等待一个月或更长时间才能生成补丁程序，这可能是灾难性的。

[更多阅读：如何从Windows PC中删除恶意软件]

快速转发几天，瞧！补丁。也许。 Oracle提供的Java 7肯定有更新。然而，目前尚不清楚它修复的是什么。

nCircle安全操作总监Andrew Storms指出，发行说明并不包含最基本的信息 - 没有发布日期，并且指向CVE的链接（ Storms说：“甲骨文用户的世界正在屏住呼吸等待某种明确的官方声明，”他补充道，“这是一个完整的安全通信失败在Oracle方面。他们如何期望他们的客户能够利用此补丁程序而无需任何其他详细信息？“

如果Oracle的此更新确实解决了零日漏洞并保护用户免受野外流传的Java攻击，那么这将是最优秀的新闻。这也将是甲骨文公司一个非常令人印象深刻的转折点，以便如此快速地发布补丁。显然，这些漏洞并不是Oracle的新闻。安全研究人员在几个月前报告了甲骨文的漏洞，但甲骨文一直在修复中，直到10月份定期更新。不管怎样，Java有一个更新，如果您使用受影响的版本，您应该可以应用这个更新。它可能修复了甲骨文自4月份以来所了解的缺陷，但即使它不能解决问题，或者在开发和发布它时也没有意义。

如果Oracle希望继续成为受人尊重的可信软件提供商，它需要做得更好，及时启动更新，并且需要大幅改进通信，以便让客户了解正在发生的事情。