Java开发网 Java开发网
注册 | 登录 | 帮助 | 搜索 | 排行榜 | 发帖统计  

您没有登录

» Java开发网 » Java Security  

按打印兼容模式打印这个话题 打印话题    把这个话题寄给朋友 寄给朋友    该主题的所有更新都将Email到你的邮箱 订阅主题
flat modethreaded modego to previous topicgo to next topicgo to back
作者 Java漏洞问题,甲骨文其实早已知道 [Re:阿熊]
阿熊

阿熊

元老


发贴: 5637
积分: 454
于 2012-08-30 19:29 user profilesend a private message to usersearch all posts byselect and copy to clipboard. 
ie only, sorry for netscape users:-)add this post to my favorite list
近日Java爆出了严重的安全漏洞,影响所有的Java 7分支版本。

据安全研究公司Security Explorations的CEO Adam Gowdiak称,其实甲骨文在今年4月份时已经知道Java 7中存在这两个可能导致恶意软件攻击的漏洞。

Gowdiak称,Security Explorations在今年4月2日曾给甲骨文报告了19个Java 7安全问题,这些问题中包含了两个零日漏洞(被发现后立即被恶意利用的安全漏洞),攻击者可以利用这些漏洞通过恶意软件来攻击计算机。

该公司在接下来的几个月内,陆续向甲骨文报告了一些Java 7中的安全漏洞,总数已经达到29个。Gowdiak称,“我们还向甲骨文展示了16个完整的利用漏洞绕过Java SE 7沙箱的方案。”

据另一家安全公司Immunity的研究显示,前几天利用Java漏洞发起的攻击中,使用到了两个漏洞,第一个漏洞被用来获取sun.awt.SunToolkit 类的引用,仅限于applets;第二个漏洞调用SunToolkit 中的getfield公共静态方法,使用一个受信任的caller反射来绕过安全检查。

Gowdiak称,这两个漏洞,一个在ClassFinder类中,一个在MethodFinder类中,Security Explorations公司已经在4月份时先后报告给了甲骨文,还报告了其他一些漏洞以及利用漏洞的概念性方案,但这两个漏洞并不是同时报告的。

目前已经出现的攻击中,同时使用了SunToolkit类和getField方法来绕过JVM沙箱,这与Security Explorations证明给甲骨文的方式不同,因此研究人员认为,可能是其他人也发现了相同的漏洞,而不是甲骨文在处理漏洞报告过程中的信息泄露。

根据甲骨文8月23日的报告显示,该公司计划在10月份发布一个重要的补丁,计划修复这两个漏洞,以及其他17个Security Explorations报告的Java 7漏洞。

Gowdiak对此表示,“在甲骨文6月份发布的补丁中,只修复了Security Explorations报告的漏洞中的3个。虽然我们与甲骨文联系和沟通过程已经相当完美,但到目前为止,我们也不知道为什么甲骨文将这么严重的错误留到10月份的补丁中。我们希望甲骨文能够尽快发布一个补丁。”

目前甲骨文公司对此仍未有任何回复。




话题树型展开
人气 标题 作者 字数 发贴时间
4807 Java 爆高危漏洞,7.x 分支全中招 阿熊 691 2012-08-29 10:52
4067 Java漏洞问题,甲骨文其实早已知道 阿熊 1032 2012-08-30 19:29

flat modethreaded modego to previous topicgo to next topicgo to back
  已读帖子
  新的帖子
  被删除的帖子
Jump to the top of page

   Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent
Copyright © 2002-2018 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号
客服电话 0592-8750026    客服信箱 714923@qq.com    客服QQ 714923