BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

两年来首次发现Java 0day漏洞

| 作者 Abraham Marín Pérez 关注 9 他的粉丝 ,译者 晁鹏飞 关注 0 他的粉丝 发布于 2015年8月16日. 估计阅读时间: 3 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

最近Oracle公司宣布了一个近两年以来首个Java 0day漏洞,它影响着Java Web Start的应用程序沙箱和Java applets的沙箱。考虑到此漏洞正在被利用,加上它便于开发,根据CVSS(通用漏洞评分系统)给此漏洞以最高风险级别的评分。Oracle公司已经发布了一个补丁,并敦促客户尽快升级。

该漏洞被确认为CVE-2015-2590,它是趋势科技的智能防护网络在分析一些针对北约成员国和美国国防组织的电子邮件后被发现的。这些电子邮件包含了一些链接,指向了Java applets的网站,这些Java applets利用上述漏洞,允许在受害者电脑上执行远程代码。

重要的是要知道这个漏洞并不会影响整个Java运行环境,只影响Java Web Start程序和Java applets。它不会影响到服务器部署的应用,甚至也不会影响在本地运行的客户端部署的Java应用程序。这意味着用户只要不导航到包含这类应用的网站,就不会有危险。但是对于那些已经做了危险操作的人,Oracle根据用户的属性确定了2个等级的风险

由于这种漏洞允许活动中的用户执行代码,所以它所造成的影响依赖于这个用户是否拥有管理员权限。在Linux和Solaris系统、还有Windows系统,比如Windows Vista或之后的系统,用户通常是没有管理员权限的(在Windows Vista和之后的系统中,用户可能有这样的权限,但是需要一个明确的确认,进入提升模式来获取管理员权限);针对这种情况,Oracle公司的CVSS评分是7.5(总分10分)。然而,一些系统像Windows XP,它的使用者仍然占有很大的比重,这些用户通常是标准用户,系统直接授予他们管理员权限。这使得他们特别容易受到远程代码执行的攻击。针对这类情况,Oracle评分为10分(总分10分)。

Oracle公司在7月14日,发布了一个针对这个漏洞的修复,并将其作为他们CPU计划的一部分,或者关键补丁的更新。CPU每个季度发布一次版本,并且每次都包含上一个季度漏洞的修复。很可能是因为漏洞是在计划更新时间的前不久发现的,所以将这个漏洞的修复作为计划升级的一部分。如果此漏洞是在其他时间发现,Oracle公司很可能发布一个计划之外的安全警告更新,就像曾经发生过的漏洞CVE-2013-1493一样。

查看英文原文:First Zero-Day Java Vulnerability in Two Years


感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT