兩年來首次發現Java 0day漏洞

　英文原文：First Zero-Day Java Vulnerability in Two Years

最近 Oracle 公司宣布了一個近兩年以來首個 Java 0day 漏洞，它影響著 Java Web Start 的應用程序沙箱和 Java applets 的沙箱。考慮到此漏洞正在被利用，加上它便于開發，根據 CVSS（通用漏洞評分系統）給此漏洞以最高風險級別的評分。Oracle 公司已經發布了一個補丁，并敦促客戶盡快升級。

該漏洞被確認為 CVE-2015-2590，它是趨勢科技的智能防護網絡在分析一些針對北約成員國和美國國防組織的電子郵件后被發現的。這些電子郵件包含了一些鏈接，指向了 Java applets 的網站，這些 Java applets 利用上述漏洞，允許在受害者電腦上執行遠程代碼。

重要的是要知道這個漏洞并不會影響整個 Java 運行環境，只影響 Java Web Start 程序和 Java applets。它不會影響到服務器部署的應用，甚至也不會影響在本地運行的客戶端部署的 Java 應用程序。這意味著用戶只要不導航到包含這類應用的網站，就不會有危險。但是對于那些已經做了危險操作的人，Oracle 根據用戶的屬性確定了 2 個等級的風險。

由于這種漏洞允許活動中的用戶執行代碼，所以它所造成的影響依賴于這個用戶是否擁有管理員權限。在 Linux 和 Solaris 系統、還有 Windows 系統，比如 Windows Vista 或之后的系統，用戶通常是沒有管理員權限的（在 Windows Vista 和之后的系統中，用戶可能有這樣的權限，但是需要一個明確的確認，進入提升模式來獲取管理員權限）；針對這種情況，Oracle 公司的 CVSS 評分是 7.5（總分 10 分）。然而，一些系統像 Windows XP，它的使用者仍然占有很大的比重，這些用戶通常是標準用戶，系統直接授予他們管理員權限。這使得他們特別容易受到遠程代碼執行的攻擊。針對這類情況，Oracle 評分為 10 分（總分 10 分）。

Oracle 公司在 7 月 14 日，發布了一個針對這個漏洞的修復，并將其作為他們 CPU 計劃的一部分，或者關鍵補丁的更新。CPU 每個季度發布一次版本，并且每次都包含上一個季度漏洞的修復。很可能是因為漏洞是在計劃更新時間的前不久發現的，所以將這個漏洞的修復作為計劃升級的一部分。如果此漏洞是在其他時間發現，Oracle 公司很可能發布一個計劃之外的安全警告更新，就像曾經發生過的漏洞 CVE-2013-1493 一樣。