甲骨文昨天發布了三個Java更新 。 重要的是要注意它們包含一些與安全性相關的更改。 一段時間以來，已經宣布了其中的大多數更改，并且首先要注意的是Oracle按計劃交付。

甲骨文公司Java平臺安全經理Milton Smith最近在DevoxxUK上做了題為“ 用Java保護未來 ”的演講，他在其中解釋了Oracle產品中處理安全性的總體過程，并概述了Java CPU。 那些為期4個月的更新涵蓋了所有Java系列，并且據此，從昨天開始，我們還看到了Java SE 6 Update 45和新的Java SE Embedded 7 Update 21，它們解決了有關這些Java系列的相同問題。

（我是最終用戶）

發行說明列出了一些新內容。 它們中的大多數針對最終用戶，旨在提供更安全的Java運行時。 從最重要的更改開始，現在刪除了Java控制面板（JCP）的“安全滑塊”上的較低設置和自定義設置。 從根本上講，這意味著未簽名的小程序不會再運行而不會發出警告。 此外，根據Java控制面板中設置的安全級別和用戶的JRE版本，可能完全不允許自簽名或未簽名的應用程序運行。 默認設置為“高”允許除本地小程序以外的所有小程序都可以在安全的JRE上運行。 如果用戶運行的是不安全的JRE（<7），則僅允許運行使用由公認的證書頒發機構頒發的證書簽名的應用程序。

受信任并已簽名（來源：Oracle）

作為一個簡短的指導原則，在（！）您已經同意啟動瀏覽器通常也會詢問您的活動內容之后，最終用戶現在在瀏覽器中看到兩種不同的Java警告消息。 所有藍色和Java都是有效的有效內容（將圖片與“可信任和已簽名”右側進行比較）。 這種類型的應用程序通常風險較低，但是Oracle建議您檢查應用程序名稱，發布者名稱和位置是否對您正在訪問的站點有意義（例如Java Detection，Oracle America，http：//www.java.com）。在java.com上）。 如果任何此信息與您不匹配或完全沒有意義，建議您單擊“取消”。

未簽名（來源：Oracle）

如果遇到未簽名或未正確簽名的應用程序，則東西會開始變成黃色和紅色（比較圖片“ Unsigned”）。 簡而言之，您最有可能愿意修改有關執行此類應用程序的決定。 即使與自簽名應用程序（沙盒與完全訪問）相比，潛在的安全風險級別不同， 您也應該取消并且不要運行任何會為您生成黃色/紅色警告的應用程序！ 如果您對完整的故事感興趣，可以深入了解有關“ Java安全提示 ”的更多信息。

除了這一非常顯著的變化，Oracle還引入了中央證書和jar黑名單存儲庫。 首次執行Java applet或Web Start應用程序時，每天在客戶端計算機上更新此數據。 通過此更改，您的JRE現在可以致電給家，并獲取有關可能存在的不良證書和第四方罐子的最新信息。 Oracle沒有透露有關其背后流程的任何信息，但我想，該機制將用于完全阻止大多數（全部）已知漏洞利用工具包。

您可以獲得大量的安全修復程序！ 有一個完整的列表可用，它稱為“ Oracle Java SE Risk Matrix ”。 此重要補丁更新包含針對Oracle Java SE的42個新的安全修復程序。 其中的39個漏洞無需身份驗證即可遠程利用，即，可以通過網絡利用這些漏洞而無需用戶名和密碼。 如果沒有提示您更新，則應盡快執行此操作。 從java.com下載適用于您系統的JRE，并保持最新狀態！

（我是開發人員）

如果您正在使用Applet，瀏覽器中的JavaFX應用程序或Java WebStart應用程序，則可能需要更改開發過程以支持簽名的應用程序。 通過引入的更改，最有可能的是最終用戶在自簽名或未簽名的情況下都無法運行您的應用程序。 有關如何執行操作的詳細概述，請參閱Java教程中的簽署小程序指南 。

現在，我們有一個服務器JRE 。 如果您需要服務器上的JRE并且不希望運行RIA，請下載Java SE Server JRE 。 此版本的Java SE Server JRE不包含Java插件或Java Web Start支持，將來的版本中可能會刪除其他工具。

還引入了一些行為更改。 默認情況下，RMI屬性java.rmi.server.useCodebaseOnly設置為true。 這可能會導致基于RMI的應用程序損壞。 請注意包含java.rmi.UnmarshalException的堆棧跟蹤，該java.rmi.UnmarshalException包含嵌套的java.lang.ClassNotFoundException。

在Windows平臺上，改進了對指定給Runtime.exec（String），Runtime.exec（String，String []）和Runtime.exec（String，String []，File）方法的命令字符串的解碼，以符合規范更緊密。 對于使用這些方法中的一種或多種與程序名稱中包含空格的命令，或者使用未正確引用的命令調用這些方法的應用程序，可能會導致問題。

更多信息

開發人員的官方文檔中有很多內容。 最終用戶文檔的發展也非常Swift， java.com是一個很好的起點。 對于我的德語閱讀，您還可以在heise.de/developer上找到更詳細的報道。

參考： Java 7 Update 21從我們的JCG合作伙伴 Markus Eisele在Java企業軟件開發博客上詳細進行了安全改進 。

翻譯自: https://www.javacodegeeks.com/2013/04/java-7-update-21-security-improvements-in-detail.html

總結

以上是生活随笔為你收集整理的Java 7 Update 21安全改进的详细信息的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。