Sun Java漏洞将Windows用户暴露在高危网络攻击下

　　在最近的一份安全报告上，Dennis Fisher发现了一个关于Java的严重安全漏洞，这个漏洞能使用户开发Windows系统权限，使得简单的Web攻击就可以让黑客在用户电脑中为所欲为。

　　这个漏洞是由两位不同的研究人员在本周独立披露的。其中的一位，Google的Tavis Ormandy表示，如果Sun不能迅速的发布漏洞解决补丁，他将公开漏洞的细节。

　　Ormandy解释说：

　　Sun已经通报了这个漏洞，但是，他们告诉我，他们不认为这个漏洞有较高的安全威胁优先级，这样他们不会打破每个季度发布补丁的周期性。

　　由于种种原因，我不认可这种做法，我将持续的关注，指导这个问题至少有暂时性的解决方案。

　　这个漏洞另外一名独立发现者Ruben Santamarta发现这个漏洞的原因是因为包含Java插件的浏览器运行没有命令行参数的“javaws.exe”。

　　Santamarta警告说，这些参数可以被黑客利用于通过特定的控制嵌入网页的HTML代码。

　　Google的Ormandy表示，这个工具提供了最小URL参数验证，这个错误可以被黑客利用，通过命令行参数，允许执行任意参数的javaws程序。

　　Ormandy认为，发布漏洞的细节可以帮助很多软件供应商来应对这个简单的错误。

　　这个漏洞影响到Windows中的Java SE 6到10版本，禁用Java插件不足以抵御这个危害，因为该软件是通过工具包形式单独安装。

　　Ormandy建议用户进行如下操作来降低风险：

　　· Internet Explorer用户应该保持他们的缓存设置在CAFEEFAC - DEC7 - 0000 - 0000 - ABCDEFFEDCBA终止位。根据他的了解，部署工作包没有得到广泛的部署，因此不会对终端用户造成大规模影响。

　　· Mozilla Firefox以及其他的基于NPAPI的浏览器用户可以使用文件系统ACL防护，以防止黑客进入npdeploytk.dll，这些ACL可以通过GPO来管理。