Google工程师揭露Java“零日”漏洞

　　Google安全工程师Tavis Ormandy上周揭露了Java零日漏洞，黑客得以利用该漏洞于使用者电脑上执行任意程序。

　　该漏洞是因Java开发套件对参数验证不足所造成的。根据Ormandy的解释，Java原本是透过Java Web Start(JWS)让Java开发人员允许使用者藉由URL存取Java网络执行协定(。jnlp)以执行及安装应用程序，但自Java 6第十更新版后，提供了Java开发套件(Java Deployment Toolkit，JDT)来简化开发人员散布应用程序的程序。

　　JDT所扮演的角色是把所接收的URL字串传递给JWS注册处理程序，但Ormandy发现，JDT仅提供最基本的URL参数认证，导致他得以传递任何参数到JWS中，还能藉由命令列引数(command-line arguments)行使JWS的完整功能以让该错误成为可被攻击的漏洞。

　　Ormandy指出，只要是Java SE 6 update 10以后且支援微软windows的版本都受到该漏洞影响，关闭Java外挂程序功能并无法避免受到攻击，因为JDT为独立安装套件。Ormandy相信非Windows版本可幸免于难。

　　不过，Qualys技术长Wolfgang Kandek表示，该漏洞允许黑客在目标电脑上执行远端程序，而且使用者只要造访一个简单的网页就可能触动攻击。

　　Ormandy说，相关部门已被告知该漏洞的存在，但得到的反应却是该漏洞并未重要到在每季更新之外提供紧急更新。Ormandy建议使用者在该漏洞被修补前关闭相关的控制工具。