科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全Java漏洞已开始作怪 安全更新得等到七月

Java漏洞已开始作怪 安全更新得等到七月

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

研究人员警告,一个还没修补的Java漏洞已经开始被用来攻击某个音乐歌词网站的造访者,未来应该还有更多类似的会出现。研究人员警告,一个还没修补的Java漏洞已经开始被用来攻击某个音乐歌词网站的造访者,未来应该还有更多类似的会出现。

作者:cnet 来源:cnet 2010年4月16日

关键字: 漏洞 安全 java

  • 评论
  • 分享微博
  • 分享邮件

  研究人员警告,一个还没修补的Java漏洞已经开始被用来攻击某个音乐歌词网站的造访者,未来应该还有更多类似的会出现。这个位于Java Web Start中的漏洞是上周被人披露。

  研究人员警告,一个还没修补的Java漏洞已经开始被用来攻击某个音乐歌词网站的造访者,未来应该还有更多类似的会出现。

  这个位于Java Web Start中的漏洞是上周被人披露,会影响执行在Windows中的Firefox与IE 浏览器,AVG研究Roger Thompson表示,虽然外界有传出Chrome也会受影响,但他测试后发现无效。

  Thompson发现,Java与另一个Adobe Reader的漏洞已经被某个攻击程序用来瞄准音乐歌词网站Songlyrics.com的网友,不过该站后来已经清除干净。

  其运作原理是,网友造访该站后,某个网页广告中的恶意iFrame会自动把电脑导引至放有攻击程序的服务器,用户完全不需点选任何广告。

  其中一个攻击程序会启动Adobe Reader使用条款视窗,另一个则去抓取位在另一台服务器上的恶意Java文件。若用户的Reader还没有修补,电脑就会中标。

  他说,目前只是瞄准一个歌词网站,但未来应该会越来越多,因此Sun应该赶快发出补丁程序。

  Java Web Start 加入Java 6版中的原始用意是希望让开发者有管道可在网友的电脑上执行程序,但现在反而成了攻击者的助力。

  FireEye安全架构师Marc Maiffret表示,这次的漏洞特别危险,因为这是逻辑或设计上的漏洞,而非一般常见的buffer overflow(缓冲溢位),这表示攻击程序会比较稳定,且可在不同浏览器上生效。

  首先公开这个漏洞的工程师Tavis Ormandy表示,他之前有通知了Sun,但Sun却表示这个问题没那么重要,因此不会赶着推出补丁程序。Sun现在已经被甲骨文并购,而甲骨文是采每季一次推出安全更新,本周该公司才刚推出最新更新,因此最快下一次得等到七月才有更新。

  Maiffret表示,只要有使用Java的用户,这都是一个很大的漏洞,等三个才补实在太夸张了,这个漏洞很危险,你不能还在搞按部就班。

  甲骨文不愿针对此事表示意见。Thompson建议Windows用户先安装LinkScanner来保护自己电脑,或者依照Ormandy提供的方法来规避。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章