扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Java最近的一次更新仍然暴露出足以绕开沙箱保护的严重漏洞,来自Security Explorations的研究人士指出。
来自波兰安全漏洞研究机构Security Explorations的研究人员声称,他们在Java 7 Update 11中发现了两个新的漏洞,足以被攻击者用于回避软件的安全沙箱机制并在计算机上执行任意代码。
甲骨文公司于上周日刚刚放出Jave 7 Update 11紧急安全更新补丁,旨在修正已经被用于恶意软件传播的零日漏洞。
Security Explorations已经成功在Java安全沙箱环境中实现了恶意活动模拟,这一过程在Java 7 Update 11更新后仍然有效(JRE版本1.7.0_11-b21)。本次模拟借助的是由研究人员们刚刚发现的两个全新漏洞,该公司创始人Adam Gowdiak在周五发给Full Disclosure的邮件中提到。他同时表示,两个漏洞已经连同证明漏洞存在的攻击代码被立即提交给甲骨文公司。
根据Security Explorations的披露政策,此次安全漏洞的技术细节在供应商发布新补丁之前不会被公开。
供职于安全企业Immunity公司的研究人员同样在对以往恶意活动的分析中有所斩获。通过对两个安全漏洞的组合,他们也成功避开了Java沙箱的束缚。在Java 7 Update 11补丁发布后,他们在博客中宣称原先利用的两个漏洞只空有一个得到修复;一旦攻击者发现了另一个替代性漏洞,新的攻击手段将很快出现。
更可怕的是,Gowdiak在周五发出的邮件中明确表示,Security Explorations所发现的两个新漏洞与甲骨文Java 7 Update 11未修正的老漏洞并无交集——换言之,升级到最新版本的Java至少拥有三个安全漏洞。
尽管Java 7 Update 11已经发布,但包括美国计算机应急小组(简称US-CERT)在内的许多安全研究人员都建议用户禁用浏览器中的Java插件,并警告称未来可能会发生多起围绕Java展开的攻击事件。
“大家对于Java SE 7的代码质量显然有些担心,”Gowdiak指出。这可能意味着甲骨文公司对于Java及其它一些内部项目缺乏必要的安全开发生命周期管理。
在Gowdiak看来,Java 7 Update 11最大的突破在于将Java插件设定为默认关闭,并在需要时提示用户暂时性启用——这才是正确的思维方式,也有助于提高用户对攻击活动的抵御能力。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者