BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Java惊现0day漏洞,Oracle紧急升级

| 作者 丁雪丰 关注 4 他的粉丝 发布于 2012年9月3日. 估计阅读时间: 2 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

8月中旬Oracle刚刚发布了Java 7u6和6u34版本,但短短半个月时间之后的8月30日,Oralce紧急发布了新版本的JDK和JRE,原因是发现了一个严重的0day漏洞CVE-2012-4681,远程攻击者可以通过它绕开SecurityManager的限制执行代码,但服务器端和桌面端的Java程序不受该漏洞影响。

FireEye于8月26日在网上发布了该漏洞的信息,随后NIST也发出了警告并进行了一些说明——在Java 7u6和6u34及之前的版本上,攻击者可以通过如下手段绕开SecurityManager的限制:

使用com.sun.beans.finder.ClassFinder.findClass并利用forName方法从任意包访问受限类(例如sun.awt.SunToolkit),随后利用getField方法就能访问并修改私有成员属性了

攻击者就是通过getField方法取得运行java.beans.Statement所需的权限,覆盖该权限,允许运行所有代码,在Statement关闭SecurityManager后,Applet就能“为所欲为”了。

赛门铁克的说明中表示,他们发现攻击者至少从8月22日起就已经通过该漏洞发动攻击了,并定位了两个提供恶意软件的站点,下载到的恶意软件经鉴定为Trojan.Dropper

国内的Freebuf在分析恶意代码时发现了其中有这样一段代码,即“我有一只小毛驴,从来也不骑”。

String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi"; 

如果您对该漏洞的细节感兴趣,可以阅读DeepEnd Research的这篇分析。建议在浏览器中使用Java的同学立刻将自己的Java升级到7u7或6u35版本

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT