Mozilla已經(jīng)針對(duì)Firefox設(shè)置了一個(gè)惡意Java插件屏蔽黑名單。據(jù)安全博客Brian Krebs介紹，上周甲骨文公司發(fā)布了一個(gè)修復(fù)Java插件漏洞的更新，但是Mozilla開(kāi)發(fā)人員發(fā)現(xiàn)，這個(gè)更新沒(méi)有刪除舊版本的代碼，使得系統(tǒng)仍然留 下了漏洞代碼，從而使得遺留代碼成為新的漏洞。對(duì)此，Mozilla不得不將屏蔽黑名單進(jìn)行了修改，對(duì)這一惡意Java插件進(jìn)行屏蔽。

而來(lái)自Mozilla的開(kāi)發(fā)人員和管理員的論壇Bugzilla上的信息表明，Mozilla目前還沒(méi)有對(duì)這一漏洞發(fā)表任何消息。產(chǎn)生新漏洞的這一插件名叫“Java Deployment Toolkit”，該插件在2008年4月所發(fā)表的Java 6 update 10中就被發(fā)現(xiàn)存在漏洞，之前的版本為6.0.200.2。JDT（Java Deployment Toolkit的簡(jiǎn)稱）插件以簡(jiǎn)化開(kāi)發(fā)人員發(fā)布應(yīng)用開(kāi)發(fā)的程序，同時(shí)通過(guò)建立一個(gè)可透過(guò)網(wǎng)站執(zhí)行程序的通道來(lái)方便開(kāi)發(fā)人員對(duì)程序進(jìn)行維護(hù)。但是該插件當(dāng)時(shí)被發(fā)現(xiàn)的漏洞允許黑客在目標(biāo)電腦上執(zhí)行遠(yuǎn)端程序，而且用戶只要點(diǎn)擊一個(gè)網(wǎng)頁(yè)就可能被黑客攻擊。甲骨文在上周四發(fā)布了Java 6 update 20，修補(bǔ)了3個(gè)Java插件的安全漏洞。但是沒(méi)想到，新的問(wèn)題又發(fā)生了。

據(jù)論壇Bugzilla透露，Mozilla已經(jīng)通過(guò)Firefox的更新機(jī)制對(duì)屏蔽黑名單進(jìn)行了修改。用戶可以免費(fèi)的通過(guò)Firefox的更新對(duì)造成這一漏洞的插件進(jìn)行屏蔽或關(guān)閉。Mozilla表示，黑名單不會(huì)對(duì)系統(tǒng)軟件造成誤傷。

有研究報(bào)告顯示，一些補(bǔ)丁對(duì)漏洞不能起到作用，新版本和舊版本往往在過(guò)渡期間會(huì)出現(xiàn)更多的錯(cuò)誤和混亂。而且針對(duì)Java插件的更新補(bǔ)丁往往沒(méi)有引起開(kāi)發(fā)商的高度重視。特別是一些Firefox和IE用戶，在安裝各類Java插件的時(shí)候，往往沒(méi)有得到相關(guān)的安全提示，只有在漏洞大范圍的爆發(fā)時(shí)，才會(huì)有相應(yīng)的通知。

【編輯推薦】

1. Firefo JavaScript Web-Worker調(diào)用釋放后使用漏洞
2. 關(guān)于Firefox瀏覽器JavaScript提示欺騙漏洞通知
3. 新漏洞 可能導(dǎo)致Windows用戶受到攻擊