甲骨文公司昨日發(fā)布了兩個針對Java零日（zero day）漏洞的帶外（out-of-band）安全更新，其中漏洞CVE-2013-0422在發(fā)現(xiàn)當天就已被攻擊，并已經(jīng)添加到了Blackhole和Nuclear Pack開發(fā)套件兩款軟件當中。

安全專家建議用戶在安裝補丁程序之前停用Java，該漏洞使得黑客能夠在系統(tǒng)中遠程登錄并執(zhí)行任意代碼。

另外一個漏洞是CVE-2012-3174，通過遠程攻擊，黑客能夠?qū)⒂脩魧蛞粋€惡意站點。

在官方博客中，甲骨文公司稱這兩個漏洞只影響Web瀏覽器下的Java 7用戶，而對于服務器端、桌面應用端以及嵌入式設(shè)備的Java用戶則沒有影響。甲骨文官方建議用戶盡快安裝補丁更新程序。

除CVE-2013-0422和CVE-2012-3174漏洞更新之外，甲骨文還將Java的默認安全級別設(shè)置為“高”，也就是說用戶需要對任何自簽名和未簽名的應用程序進行授權(quán)才能夠運行。

甲骨文官方稱，這樣做的目的是，在應用程序運行之前，受信任用戶訪問惡意網(wǎng)站的行為都會得到提示。與此同時，系統(tǒng)對惡意程序也將拒絕執(zhí)行。

作為最受歡迎的編程語言，Java的各種插件也是黑客最泛濫的領(lǐng)域，他們往往通過惡意網(wǎng)站來進行偷渡式下載攻擊（drive-by download attack）。而根據(jù)最新的調(diào)查顯示，偷渡式下載攻擊在2013年仍然是最常用的黑客攻擊手段。

甲骨文公司的季度安全補丁更新將在北京時間1月16日發(fā)布，而本次的帶外安全更新是在季度安全補丁更新之前發(fā)布。據(jù)悉，本次更新將包含86個補丁程序，涵蓋大量的Oracle軟件產(chǎn)品。其中MySQL數(shù)據(jù)庫更新共18個，有2個MySQL漏洞能夠讓黑客在無需用戶名和密碼的情況下進行遠程攻擊。更多關(guān)于Oracle安全更新的信息，敬請關(guān)注后續(xù)報道。