甲骨文緊急修補10年前的Java漏洞

甲骨文本周緊急修補了Java執行環境元件中的一個漏洞，該漏洞允許未經授權的網路攻擊，受影響的包括Java SE及企業版Java產品，隨後即有開發人員指出該漏洞存在已接近10年。

根據甲骨文的說明，Java執行環境（JRE）在將2.2250738585072012e-308轉成浮點數字時就會突然中止，該漏洞允許未經授權的網路攻擊，成功的攻擊可能導致系統中止或重覆當機，Java程式或伺服器風險更高。

由於甲骨文採用每季更新，此一緊急更新旋即吸引Java開發人員的注意，並有一開發人員透過Java郵件論壇表示，昇陽早在2001年就得知該漏洞（昇陽網頁已被移除），而且其他開發人員也曾在2009年提交同一個漏洞。

甲骨文甫於去年併購昇陽，雖然此一年代久遠的漏洞不應完全歸咎於甲骨文，不過今年1月安全專家Amichai Shulman已出面批評甲骨文的漏洞修補政策。

Shulman認為甲骨文以往動輒修補數十個甚至上百個漏洞，但在去年併購多家公司後，漏洞修補數量竟然減少了，同時也抨擊甲骨文對漏洞細節多半含糊帶過，駭客一樣能透過反向工程找到漏洞，受害的卻是甲骨文客戶。（編譯/陳曉莉）