中国Java开发网 中国Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» 中国Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 Java 爆高危漏洞,7.x 分支全中招
阿熊

阿熊

元老


发贴: 5637
积分: 454
于 2012-08-29 10:52 user profilesend a private message to usersearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
据国外安全研究机构称,当前的Java版本中包含了一个严重的安全漏洞,可能导致电脑在访问带有恶意代码的特定网页时被感染。

据悉,该漏洞已经被黑客利用,目前仅是一些有针对性的攻击。但有一个漏洞已经开始流通,因此有可能不久就会出现一波大规模的攻击。

迄今为止,已知的有针对性的攻击是利用该漏洞安装Poison Ivy木马,这些恶意软件托管在位于新加坡的一台服务器上。

该漏洞影响了所有Java 7.x分支版本。在测试中,Windows系统中的所有主流浏览器都可能被利用并感染,其中也包括Chrome。据称,该漏洞也存在于苹果最新的Mountain Lion操作系统。

目前的应对方法是,系统中已安装Java的用户应该禁用浏览器插件,或者干脆移除掉Java插件,至少等到甲骨文公司发布补丁时再启用。当浏览器插件被禁用时,本地Java应用程序仍可以正常使用。

甲骨文公司尚未对这个漏洞发表评论,因此该漏洞是否已被修复还未知。根据计划,Java 7的下一版更新将于10月16日发布,届时可能会包含这一漏洞相关补丁。



作者 Java漏洞问题,甲骨文其实早已知道 [Re:阿熊]
阿熊

阿熊

元老


发贴: 5637
积分: 454
于 2012-08-30 19:29 user profilesend a private message to usersearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
近日Java爆出了严重的安全漏洞,影响所有的Java 7分支版本。

据安全研究公司Security Explorations的CEO Adam Gowdiak称,其实甲骨文在今年4月份时已经知道Java 7中存在这两个可能导致恶意软件攻击的漏洞。

Gowdiak称,Security Explorations在今年4月2日曾给甲骨文报告了19个Java 7安全问题,这些问题中包含了两个零日漏洞(被发现后立即被恶意利用的安全漏洞),攻击者可以利用这些漏洞通过恶意软件来攻击计算机。

该公司在接下来的几个月内,陆续向甲骨文报告了一些Java 7中的安全漏洞,总数已经达到29个。Gowdiak称,“我们还向甲骨文展示了16个完整的利用漏洞绕过Java SE 7沙箱的方案。”

据另一家安全公司Immunity的研究显示,前几天利用Java漏洞发起的攻击中,使用到了两个漏洞,第一个漏洞被用来获取sun.awt.SunToolkit 类的引用,仅限于applets;第二个漏洞调用SunToolkit 中的getfield公共静态方法,使用一个受信任的caller反射来绕过安全检查。

Gowdiak称,这两个漏洞,一个在ClassFinder类中,一个在MethodFinder类中,Security Explorations公司已经在4月份时先后报告给了甲骨文,还报告了其他一些漏洞以及利用漏洞的概念性方案,但这两个漏洞并不是同时报告的。

目前已经出现的攻击中,同时使用了SunToolkit类和getField方法来绕过JVM沙箱,这与Security Explorations证明给甲骨文的方式不同,因此研究人员认为,可能是其他人也发现了相同的漏洞,而不是甲骨文在处理漏洞报告过程中的信息泄露。

根据甲骨文8月23日的报告显示,该公司计划在10月份发布一个重要的补丁,计划修复这两个漏洞,以及其他17个Security Explorations报告的Java 7漏洞。

Gowdiak对此表示,“在甲骨文6月份发布的补丁中,只修复了Security Explorations报告的漏洞中的3个。虽然我们与甲骨文联系和沟通过程已经相当完美,但到目前为止,我们也不知道为什么甲骨文将这么严重的错误留到10月份的补丁中。我们希望甲骨文能够尽快发布一个补丁。”

目前甲骨文公司对此仍未有任何回复。




flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2018 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号
客服电话 0592-8750026    客服信箱 714923@qq.com    客服QQ 714923