BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

最新修订之后,Java脆弱依旧

| 作者 Charles Humble 关注 899 他的粉丝 ,译者 李彬 关注 1 他的粉丝 发布于 2013年5月25日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

在Java最新修订发布几天后,安全研究员Adam Gowdiak就发现了另一个Java的漏洞。在附带的披露文章中,Gowdiak表示Reflection API缺陷会影响Java SE 7的全部版本,而且“可以用来在目标系统上达到完全绕过Java安全沙箱的目的”。该漏洞同时在插件/JDK软件中存在,而服务器JRE也未能幸免。通过Web浏览器暴露的漏洞确实要求用户“在看到安全性警告窗口的时候,接受执行潜在地恶意Java应用的风险,”Gowdiak写道。

Gowdiak宣称他的公司Security Explorations已经将漏洞报告及概念验证代码发送给Oracle。

Security Explorations最早在2012年4月与Oracle联系,特别向其通报了Java SE 7以及Reflections API中的安全问题。然而Gowdiak认为“看起来,Oracle重点专注于处理‘许可的’类空间中潜在的Reflection API危险调用”——也就是不受信任的applet或Web启动应用程序这样的程序能够访问的类。

由于这一最新漏洞同时也影响服务器JRE,这让事情变得有一些不寻常。上周,Oracle发布了一个补丁,修复了其他42处缺陷,其中19处在公司用来评估的CVSS评测中得到了10分(最严重)。不过其中大部分漏洞是针对客户端Java的,而且只能够通过不受信任的applet或是Web启动应用程序来利用这些漏洞。

针对这些漏洞的补丁来得很及时。从一篇Timo Hirvonen发表的短博文来看,或许是因为漏洞已经被添加到CrimeBossCoolCritX攻击工具,以及渗透测试产品Metasploit上面,使用远程代码执行漏洞之一(CVE-2013-2423)的攻击已经出现。RedKit曽被报导过,但Hirvonen向InfoQ确认这是由F-Secure的自动工具错误报告所致。

在该新闻之后,Java在安全方面度过了艰难的几个月。在数月的负面报道之后,Oracle最近委任Java安全主管Milton Smith,Smith在1月份的一个电话会议中声明Oracle将专注于修复问题并增强与社区成员的交流。

继黑客利用Java中的0day缺陷对多家公司进行攻击后(这些公司包括AppleFacebookMicrosoft,或许还有Twitter),Java再次成为了头条新闻。

Oracle需要集中更多的资源,以应对接下来与Java的安全问题进行的斗争。这也被视作JDK 8的发布推迟到2014年的一个原因

InfoQ就此事询问Oracle的意见,但遭到了拒绝。

查看英文原文Java Still Vulnerable, Despite Latest Patches


感谢杨赛对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ)或者腾讯微博(@InfoQ)关注我们,并与我们的编辑和其他读者朋友交流。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT