又是一周,又一個Java安全漏洞被發現
英文原文:Another Week, Another Java Security Issue Found
波蘭一家新創建的公司 Security Explorations 最近發現了 Java 又一個安全漏洞,黑客可以通過此漏洞避開一些關鍵性的安全檢查措施。受該漏洞影響的 Java 版本包括 Java SE 5、6和7。據該公司透露,以下是容易受到攻擊的 Java 版本:
- Java SE 5 Update 22 (build 1.5.0_22-b03)
- Java SE 6 Update 35 (build 1.6.0_35-b10)
- Java SE 7 Update 7 (build 1.7.0_07-b10) </ul>
- 31處已經報告給了 Oracle(17種完全繞過沙箱漏洞)
- 2處報告給了 Apple(1個完全繞過沙箱漏洞)
- 17處報告給了 IBM(10中完全繞過沙箱漏洞) </ul>
Security Explorations 公司的 Adam Gowdiak這樣寫道:“該漏洞是非常危險的——我們已經成功地開發并完成了一套,可運行于 Java SE 5、6和 7 環境中的 Java 安全沙盒。”
Security Explorations 在一臺 32 位 Windows 7 系統上,分別對 Chrome、Firefox、IE、Opera 和 Safari 進行了漏洞檢測試驗。Gowdiak 對 InfoQ 確認道:“雖然試驗只是在 32 位的 Windows 7 系統上進行,但該漏洞是與平臺無關的,只要該平臺上安裝有內置 Java 插件的瀏覽器,那么該漏洞都會出現。”
至于該漏洞會允許黑客們做些什么,Gowdiak 告訴 InfoQ:
一些惡意的 Java applet 或者應用程序可以在沒有限制的情況下在 Java 進程中運行,比如瀏覽器。這樣,黑客們便可以在這樣的進程中安裝一些程序,并使用登陸用戶的權限來查看、修改甚至刪除數據。作為驗證,我們成功的創建了一個文件并執行了“notepad.exe”。
</blockquote>Security Explorations 已經找到了 50 處由該漏洞引起的瑕疵,可查看關于此問題的時間線。對于這 50 處瑕疵,Gowdiak 告訴我們:
上個月,Oracle 又發現了另外一處,并為其打了一個 patch。據報道,Oracle 在 4 個月前就已經意識到了這個最新安全漏洞的危害性,Oracle 也已經確認了該漏洞的存在。Gowdiak 還表示,他們正在評估修復方案,希望在 Java SE 的下次(2012年 10 月 16 號)更新發布中會包含此修復。對此,我們已經聯系過了 Oracle,但到此文發布時,仍然沒有收到任何回復。
來自: InfoQ本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!