扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Google安全工程师Tavis Ormandy上周揭露了Java零日漏洞,黑客得以利用该漏洞于使用者电脑上执行任意程序。
该漏洞是因Java开发套件对参数验证不足所造成的。根据Ormandy的解释,Java原本是透过Java Web Start(JWS)让Java开发人员允许使用者藉由URL存取Java网络执行协定(。jnlp)以执行及安装应用程序,但自Java 6第十更新版后,提供了Java开发套件(Java Deployment Toolkit,JDT)来简化开发人员散布应用程序的程序。
JDT所扮演的角色是把所接收的URL字串传递给JWS注册处理程序,但Ormandy发现,JDT仅提供最基本的URL参数认证,导致他得以传递任何参数到JWS中,还能藉由命令列引数(command-line arguments)行使JWS的完整功能以让该错误成为可被攻击的漏洞。
Ormandy指出,只要是Java SE 6 update 10以后且支援微软windows的版本都受到该漏洞影响,关闭Java外挂程序功能并无法避免受到攻击,因为JDT为独立安装套件。Ormandy相信非Windows版本可幸免于难。
不过,Qualys技术长Wolfgang Kandek表示,该漏洞允许黑客在目标电脑上执行远端程序,而且使用者只要造访一个简单的网页就可能触动攻击。
Ormandy说,相关部门已被告知该漏洞的存在,但得到的反应却是该漏洞并未重要到在每季更新之外提供紧急更新。Ormandy建议使用者在该漏洞被修补前关闭相关的控制工具。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者