科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Google工程师揭露Java“零日”漏洞

Google工程师揭露Java“零日”漏洞

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Google安全工程师Tavis Ormandy上周揭露了Java零日漏洞,黑客得以利用该漏洞于使用者电脑上执行任意程序。

来源:eNet 2010年4月13日

关键字: 零日漏洞 java Google

  • 评论
  • 分享微博
  • 分享邮件

  Google安全工程师Tavis Ormandy上周揭露了Java零日漏洞,黑客得以利用该漏洞于使用者电脑上执行任意程序。

  该漏洞是因Java开发套件对参数验证不足所造成的。根据Ormandy的解释,Java原本是透过Java Web Start(JWS)让Java开发人员允许使用者藉由URL存取Java网络执行协定(。jnlp)以执行及安装应用程序,但自Java 6第十更新版后,提供了Java开发套件(Java Deployment Toolkit,JDT)来简化开发人员散布应用程序的程序。

  JDT所扮演的角色是把所接收的URL字串传递给JWS注册处理程序,但Ormandy发现,JDT仅提供最基本的URL参数认证,导致他得以传递任何参数到JWS中,还能藉由命令列引数(command-line arguments)行使JWS的完整功能以让该错误成为可被攻击的漏洞。

  Ormandy指出,只要是Java SE 6 update 10以后且支援微软windows的版本都受到该漏洞影响,关闭Java外挂程序功能并无法避免受到攻击,因为JDT为独立安装套件。Ormandy相信非Windows版本可幸免于难。

  不过,Qualys技术长Wolfgang Kandek表示,该漏洞允许黑客在目标电脑上执行远端程序,而且使用者只要造访一个简单的网页就可能触动攻击。

  Ormandy说,相关部门已被告知该漏洞的存在,但得到的反应却是该漏洞并未重要到在每季更新之外提供紧急更新。Ormandy建议使用者在该漏洞被修补前关闭相关的控制工具。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章