BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

又是一周,又一个Java安全漏洞被发现

| 作者 Charles Humble 关注 899 他的粉丝 ,译者 滕云 关注 0 他的粉丝 发布于 2012年10月17日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

波兰一家新创建的公司Security Explorations最近发现了Java又一个安全漏洞,黑客可以通过此漏洞避开一些关键性的安全检查措施。受该漏洞影响的Java版本包括Java SE 5、6和7。据该公司透露,以下是容易受到攻击的Java版本:

  • Java SE 5 Update 22 (build 1.5.0_22-b03)
  • Java SE 6 Update 35 (build 1.6.0_35-b10)
  • Java SE 7 Update 7 (build 1.7.0_07-b10)

Security Explorations 公司的Adam Gowdiak这样写道:“该漏洞是非常危险的——我们已经成功地开发并完成了一套,可运行于Java SE 5、6和7环境中的Java安全沙盒。”

Security Explorations在一台32位Windows 7系统上,分别对Chrome、Firefox、IE、Opera和Safari进行了漏洞检测试验。Gowdiak对InfoQ确认道:“虽然试验只是在32位的Windows 7系统上进行,但该漏洞是与平台无关的,只要该平台上安装有内置Java插件的浏览器,那么该漏洞都会出现。”

至于该漏洞会允许黑客们做些什么,Gowdiak告诉InfoQ:

一些恶意的Java applet或者应用程序可以在没有限制的情况下在Java进程中运行,比如浏览器。这样,黑客们便可以在这样的进程中安装一些程序,并使用登陆用户的权限来查看、修改甚至删除数据。作为验证,我们成功的创建了一个文件并执行了“notepad.exe”。

Security Explorations已经找到了50处由该漏洞引起的瑕疵,可查看关于此问题的时间线。对于这50处瑕疵,Gowdiak告诉我们:

  • 31处已经报告给了Oracle(17种完全绕过沙箱漏洞)
  • 2处报告给了Apple(1个完全绕过沙箱漏洞)
  • 17处报告给了IBM(10中完全绕过沙箱漏洞)

上个月,Oracle又发现了另外一处,并为其打了一个patch。据报道,Oracle在4个月前就已经意识到了这个最新安全漏洞的危害性,Oracle也已经确认了该漏洞的存在。Gowdiak还表示,他们正在评估修复方案,希望在Java SE的下次(2012年10月16号)更新发布中会包含此修复。对此,我们已经联系过了Oracle,但到此文发布时,仍然没有收到任何回复。

查看英文原文Another Week, Another Java Security Issue Found


感谢贾国清对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT