扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
Java最近的一次更新仍然暴露出足以绕开沙箱保护的严重漏洞,来自Security Explorations的研究人士指出。
来自波兰安全漏洞研究机构Security Explorations的研究人员声称,他们在Java 7 Update 11中发现了两个新的漏洞,足以被攻击者用于回避软件的安全沙箱机制并在计算机上执行任意代码。
甲骨文公司于上周日刚刚放出Jave 7 Update 11紧急安全更新补丁,旨在修正已经被用于恶意软件传播的零日漏洞。
Security Explorations已经成功在Java安全沙箱环境中实现了恶意活动模拟,这一过程在Java 7 Update 11更新后仍然有效(JRE版本1.7.0_11-b21)。本次模拟借助的是由研究人员们刚刚发现的两个全新漏洞,该公司创始人Adam Gowdiak在周五发给Full Disclosure的邮件中提到。他同时表示,两个漏洞已经连同证明漏洞存在的攻击代码被立即提交给甲骨文公司。
根据Security Explorations的披露政策,此次安全漏洞的技术细节在供应商发布新补丁之前不会被公开。
供职于安全企业Immunity公司的研究人员同样在对以往恶意活动的分析中有所斩获。通过对两个安全漏洞的组合,他们也成功避开了Java沙箱的束缚。在Java 7 Update 11补丁发布后,他们在博客中宣称原先利用的两个漏洞只空有一个得到修复;一旦攻击者发现了另一个替代性漏洞,新的攻击手段将很快出现。
更可怕的是,Gowdiak在周五发出的邮件中明确表示,Security Explorations所发现的两个新漏洞与甲骨文Java 7 Update 11未修正的老漏洞并无交集——换言之,升级到最新版本的Java至少拥有三个安全漏洞。
尽管Java 7 Update 11已经发布,但包括美国计算机应急小组(简称US-CERT)在内的许多安全研究人员都建议用户禁用浏览器中的Java插件,并警告称未来可能会发生多起围绕Java展开的攻击事件。
“大家对于Java SE 7的代码质量显然有些担心,”Gowdiak指出。这可能意味着甲骨文公司对于Java及其它一些内部项目缺乏必要的安全开发生命周期管理。
在Gowdiak看来,Java 7 Update 11最大的突破在于将Java插件设定为默认关闭,并在需要时提示用户暂时性启用——这才是正确的思维方式,也有助于提高用户对攻击活动的抵御能力。
濠电姷鏁告慨鐑姐€傛禒瀣劦妞ゆ巻鍋撻柛鐔锋健閸┾偓妞ゆ巻鍋撶紓宥咃躬楠炲啫螣鐠囪尙绐為梺褰掑亰閸撴盯鎮惧ú顏呪拺闂傚牊鍗曢崼銉ョ柧婵犲﹤瀚崣蹇旂節婵犲倻澧涢柛瀣ㄥ妽閵囧嫰寮介妸褋鈧帡鏌熼挊澶婃殻闁哄瞼鍠栭幃婊堝煛閸屾稓褰嬮柣搴ゎ潐濞叉ê鐣濈粙璺ㄦ殾闁割偅娲栭悡娑㈡煕鐏炲墽鐭嬫繛鍫熸倐濮婄粯鎷呯粵瀣異闂佹悶鍔嬮崡鍐茬暦閵忋倕鍐€妞ゆ劑鍎卞皬闂備焦瀵х粙鎴犫偓姘煎弮瀹曚即宕卞Ο闀愮盎闂侀潧鐗嗛幊搴㈡叏椤掆偓閳规垿鍩ラ崱妞剧凹濠电姰鍨洪敋閾荤偞淇婇妶鍛櫤闁稿鍊圭换娑㈠幢濡纰嶉柣搴㈣壘椤︾敻寮诲鍫闂佸憡鎸鹃崰搴敋閿濆鏁嗗〒姘功閻绻涢幘鏉戠劰闁稿鎹囬弻锝呪槈濞嗘劕纾抽梺鍝勬湰缁嬫垿鍩為幋锕€宸濇い鏇炴噺閳诲﹦绱撻崒娆戝妽妞ゃ劌鎳橀幆宀勫磼閻愰潧绁﹂柟鍏肩暘閸斿矂鎮為崹顐犱簻闁圭儤鍨甸鈺呮倵濮橆剦妲归柕鍥у瀵粙濡歌閸c儳绱撴担绛嬪殭婵☆偅绻堝濠氭偄绾拌鲸鏅i悷婊冪Ч閹﹢鎳犻鍌滐紲闁哄鐗勯崝搴g不閻愮儤鐓涢悘鐐跺Г閸犳﹢鏌℃担鐟板鐎规洜鍠栭、姗€鎮╅搹顐ら拻闂傚倷娴囧畷鍨叏閹惰姤鈷旂€广儱顦崹鍌炴煢濡尨绱氶柨婵嗩槸缁€瀣亜閺嶃劎鈽夋繛鍫熺矒濮婅櫣娑甸崨顔俱€愬銈庡亝濞茬喖宕洪埀顒併亜閹哄棗浜鹃梺鎸庢穿婵″洤危閹版澘绫嶉柛顐g箘椤撴椽姊虹紒妯哄鐎殿噮鍓欒灃闁告侗鍠氶崢鎼佹⒑閸撴彃浜介柛瀣閹﹢鏁冮崒娑氬幈闁诲函缍嗛崑鍡樻櫠椤掑倻纾奸柛灞剧☉缁椦囨煙閻熸澘顏柟鐓庢贡閹叉挳宕熼棃娑欐珡闂傚倸鍊风粈渚€骞栭銈傚亾濮樺崬鍘寸€规洖缍婇弻鍡楊吋閸涱垽绱遍柣搴$畭閸庨亶藝娴兼潙纾跨€广儱顦伴悡鏇㈡煛閸ャ儱濡煎褜鍨伴湁闁绘ǹ绉鍫熺畳闂備焦瀵х换鍌毼涘Δ鍛厺闁哄洢鍨洪悡鍐喐濠婂牆绀堟慨妯挎硾閽冪喖鏌曟繛褍瀚烽崑銊╂⒑缂佹ê濮囨い鏇ㄥ弮閸┿垽寮撮姀鈥斥偓鐢告煥濠靛棗鈧懓鈻嶉崶銊d簻闊洦绋愰幉楣冩煛鐏炵偓绀嬬€规洟浜堕、姗€鎮㈡總澶夌处