Oracle 发布了 Java 6、7、8 的安全更新,用于修复一个高危的安全漏洞。该漏洞将导致远程未经授权的攻击者执行任意代码。漏洞是由 Stefan Kanthak 发现的,编号为 CVE-2016-0603 ,该漏洞影响 Windows 下的 Java 6、7、8 的安装程序加载和执行很多来自应用目录(下载目录)的 DLL 动态链接库。
如果攻击者在安装 Java 之前在相同目录下放置一些而已的 DLL,那么安装过程中将会执行这些 DLL ,这将导致目标系统暴漏于危险之中。这也是为什么 Oracle 将这个漏洞标注为高危漏洞的原因。
Oracle 建议所有下载 Java 并准备安装的用户放弃老的下载版本,重新下载 Java 6u113, 7u97 or 8u73.