在过往一段时候里,在Websense ThreatSeeker智能云的帮忙下,Websense安然尝试室成功汇集到一系列记实数据,这些数据显示了当前Java最新版本的利用环境和Java用户所面对的安然风险。Websense安然专家就Java版本的利用环境进行了研究后发现,几近有93%的用户并未将Java进级到最新版本,虽然用户碰着的是十分常见的缝隙操纵代码,但仍然很等闲蒙受报复打击。
自4月16日Oracle发布Java首要补丁更新以来,Websense安然专家寄望到,企业迟迟未将最新补丁(Version 7 Update 21)更新到系统环境中。
该补丁发布2天以后,独一不到2%的用户将其安装到了系统中。
经历整整一周以后,最新版本Java的平均利用率仍不足3%。
最新版本Java发布2周以后,用户利用率有所上升,略高于4%。
发布1个月以后,利用最新版本的Java进行及时Web要求的数量也只是在7%摆布。
如上图所示,虽然最新版本Java已发布了一个月,但仍有92.8%的用户仍然等闲遭到Java缝隙的报复打击。2013年4月发布的Java首要补丁更新中包含42个新的安然修复法度,此中有39个修复法度无需验证便可长途利用。为了形象申明这39个长途履行缝隙的风险,Metasploit于2013年4月20日发布了一个可以操纵CVE-2013-2423缝隙的模块。Websense安然专家不雅察到了这一纳进缝隙操纵东西包中的特定缝隙操纵代码和它的遍及利用。不但如斯,Websense安然专家们也十分寄望被透露的缝隙对Java SE 7及进级版本的影响。
让Websense安然专家欣慰的是,进级补丁的岑岭期间是在其发布后的第二周,虽然更新速度很慢,但却一向在进行。可见,非论是经由过程口耳相传仍是作为Java主动更新法度通知用户,伴跟着可用补丁动静的遍及传播,仍有良多企业偏向于将这个补丁更新到系统中。
Java报复打击日趋残虐,缝隙操纵东西包也复杂多变,假定补丁更新没有跟上,企业将若何有效禁止此类Java报复打击呢?打补丁是最明智的选择。日前,Oracle公司再次发布了Java SE的首要补丁更新。假定您是未申请可用补丁的93%的用户中的一员,Websense强烈建议您尽快进级打补丁。