Java开发网 - Java 爆高危漏洞，7.x 分支全中招

Java开发网

您没有登录

» Java开发网 » Java Security

打印话题 寄给朋友 订阅主题

作者

Java 爆高危漏洞，7.x 分支全中招

阿熊

阿熊

元老

发贴: 5644
积分: 454

于 2012-08-29 10:52

据国外安全研究机构称，当前的Java版本中包含了一个严重的安全漏洞，可能导致电脑在访问带有恶意代码的特定网页时被感染。

据悉，该漏洞已经被黑客利用，目前仅是一些有针对性的攻击。但有一个漏洞已经开始流通，因此有可能不久就会出现一波大规模的攻击。

迄今为止，已知的有针对性的攻击是利用该漏洞安装Poison Ivy木马，这些恶意软件托管在位于新加坡的一台服务器上。

该漏洞影响了所有Java 7.x分支版本。在测试中，Windows系统中的所有主流浏览器都可能被利用并感染，其中也包括Chrome。据称，该漏洞也存在于苹果最新的Mountain Lion操作系统。

目前的应对方法是，系统中已安装Java的用户应该禁用浏览器插件，或者干脆移除掉Java插件，至少等到甲骨文公司发布补丁时再启用。当浏览器插件被禁用时，本地Java应用程序仍可以正常使用。

甲骨文公司尚未对这个漏洞发表评论，因此该漏洞是否已被修复还未知。根据计划，Java 7的下一版更新将于10月16日发布，届时可能会包含这一漏洞相关补丁。

作者

Java漏洞问题，甲骨文其实早已知道 [Re:阿熊]

阿熊

阿熊

元老

发贴: 5644
积分: 454

于 2012-08-30 19:29

近日Java爆出了严重的安全漏洞，影响所有的Java 7分支版本。

据安全研究公司Security Explorations的CEO Adam Gowdiak称，其实甲骨文在今年4月份时已经知道Java 7中存在这两个可能导致恶意软件攻击的漏洞。

Gowdiak称，Security Explorations在今年4月2日曾给甲骨文报告了19个Java 7安全问题，这些问题中包含了两个零日漏洞（被发现后立即被恶意利用的安全漏洞），攻击者可以利用这些漏洞通过恶意软件来攻击计算机。

该公司在接下来的几个月内，陆续向甲骨文报告了一些Java 7中的安全漏洞，总数已经达到29个。Gowdiak称，“我们还向甲骨文展示了16个完整的利用漏洞绕过Java SE 7沙箱的方案。”

据另一家安全公司Immunity的研究显示，前几天利用Java漏洞发起的攻击中，使用到了两个漏洞，第一个漏洞被用来获取sun.awt.SunToolkit 类的引用，仅限于applets；第二个漏洞调用SunToolkit 中的getfield公共静态方法，使用一个受信任的caller反射来绕过安全检查。

Gowdiak称，这两个漏洞，一个在ClassFinder类中，一个在MethodFinder类中，Security Explorations公司已经在4月份时先后报告给了甲骨文，还报告了其他一些漏洞以及利用漏洞的概念性方案，但这两个漏洞并不是同时报告的。

目前已经出现的攻击中，同时使用了SunToolkit类和getField方法来绕过JVM沙箱，这与Security Explorations证明给甲骨文的方式不同，因此研究人员认为，可能是其他人也发现了相同的漏洞，而不是甲骨文在处理漏洞报告过程中的信息泄露。

根据甲骨文8月23日的报告显示，该公司计划在10月份发布一个重要的补丁，计划修复这两个漏洞，以及其他17个Security Explorations报告的Java 7漏洞。

Gowdiak对此表示，“在甲骨文6月份发布的补丁中，只修复了Security Explorations报告的漏洞中的3个。虽然我们与甲骨文联系和沟通过程已经相当完美，但到目前为止，我们也不知道为什么甲骨文将这么严重的错误留到10月份的补丁中。我们希望甲骨文能够尽快发布一个补丁。”

目前甲骨文公司对此仍未有任何回复。

已读帖子

新的帖子

被删除的帖子