Mozilla已经针对Firefox设置了一个恶意Java插件屏蔽黑名单。据安全博客Brian Krebs介绍,上周甲骨文公司发布了一个修复Java插件漏洞的更新,但是Mozilla开发人员发现,这个更新没有删除旧版本的代码,使得系统仍然留下了漏洞代码,从而使得遗留代码成为新的漏洞。对此,Mozilla不得不将屏蔽黑名单进行了修改,对这一恶意Java插件进行屏蔽。
而来自Mozilla的开发人员和管理员的论坛Bugzilla上的信息表明,Mozilla目前还没有对这一漏洞发表任何消息。产生新漏洞的这一插件名叫“Java Deployment Toolkit”,该插件在2008年4月所发表的Java 6 update 10中就被发现存在漏洞,之前的版本为6.0.200.2。JDT(Java Deployment Toolkit的简称)插件以简化开发人员发布应用开发的程序,同时通过建立一个可透过网站执行程序的通道来方便开发人员对程序进行维护。但是该插件当时被发现的漏洞允许黑客在目标电脑上执行远端程序,而且用户只要点击一个网页就可能被黑客攻击。甲骨文在上周四发布了Java 6 update 20,修补了3个Java插件的安全漏洞。但是没想到,新的问题又发生了。
据论坛Bugzilla透露,Mozilla已经通过Firefox的更新机制对屏蔽黑名单进行了修改。用户可以免费的通过Firefox的更新对造成这一漏洞的插件进行屏蔽或关闭。Mozilla表示,黑名单不会对系统软件造成误伤。
有研究报告显示,一些补丁对漏洞不能起到作用,新版本和旧版本往往在过渡期间会出现更多的错误和混乱。而且针对Java插件的更新补丁往往没有引起开发商的高度重视。特别是一些Firefox和IE用户,在安装各类Java插件的时候,往往没有得到相关的安全提示,只有在漏洞大范围的爆发时,才会有相应的通知。
