安全公司Security
Explorations报告发现最新版Java存在一个安全漏洞,
允许完全绕过沙盒安全机制。
澳门新葡萄京官网注册,与此同时,甲骨文最近修复的Java漏洞被发现已经包含在黑客攻击工具包中,凸显了及时打补丁的重要性。Security
Explorations称,它已经通知了甲骨文,并提供了攻击概念验证代码,漏洞在原始版本、Java
7 Updates 11和15(Updates
15是最新版本)上都有效。为了防止被黑客利用,漏洞的细节没有披露多少。

之前发现Java 7中重要安全漏洞的波兰安全公司Security
Explorations近日发表公告称,他们在Java中又发现了一个漏洞,攻击者可利用该漏洞绕过沙箱。Security
Explorations公司安全专家Adam Gowdiak称:引用该安全漏洞影响所有最新的Java
SE版本,该问题非常严重,在Java SE
5、6、7平台中,我们已经利用该漏洞成功绕过了Java安全沙箱。以下版本被证实受影响:Java
SE 5 Update 22 (build 1.5.0_22-b03)Java SE 6 Update 35 (build
1.6.0_35-b10)Java SE 7 Update 7 (build
1.7.0_07-b10)该安全公司在打了所有补丁的32位Windows
7操作系统以及以下浏览器中成功实施了攻击:
Firefox 15.0.1Google Chrome
21.0.1180.89Internet Explorer 9.0.8112.16421 (update 9.0.10)Opera 12.02
(build 1578)Safari 5.1.7
(7534.57.2)该公司表示,他们已经向甲骨文公司提供了该漏洞的技术描述,以及利用该漏洞绕过Java
SE 5/6/7沙箱的概念验证源码。
希望甲骨文公司尽快修复。Security
Explorations公司在上半年已经陆续向甲骨文报告了29个Java安全漏洞,在甲骨文6月份发布的补丁中,只修复了其中的3个。直到前一段时间,利用Java漏洞的攻击事件频出,甲骨文才发布了7u7和6u35两个安全修复版本。但随后又被爆出存在安全漏洞。Via
seclists

近日Java爆出了严重的安全漏洞,影响所有的Java
7分支版本。据安全研究公司Security Explorations的CEO Adam
Gowdiak称,其实甲骨文在今年4月份时已经知道Java
7中存在这两个可能导致恶意软件攻击的漏洞。
Gowdiak称,Security
Explorations在今年4月2日曾给甲骨文报告了19个Java
7安全问题,这些问题中包含了两个零日漏洞,攻击者可以利用这些漏洞通过恶意软件来攻击计算机。该公司在接下来的几个月内,陆续向甲骨文报告了一些Java
7中的安全漏洞,总数已经达到29个。Gowdiak称,“我们还向甲骨文展示了16个完整的利用漏洞绕过Java
SE
7沙箱的方案。
”据另一家安全公司Immunity的研究显示,前几天利用Java漏洞发起的攻击中,使用到了两个漏洞,第一个漏洞被用来获取sun.awt.SunToolkit
类的引用,仅限于applets;第二个漏洞调用SunToolkit
中的getfield公共静态方法,使用一个受信任的caller反射来绕过安全检查。Gowdiak称,这两个漏洞,一个在ClassFinder类中,一个在MethodFinder类中,Security
Explorations公司已经在4月份时先后报告给了甲骨文,还报告了其他一些漏洞以及利用漏洞的概念性方案,但这两个漏洞并不是同时报告的。目前已经出现的攻击中,同时使用了SunToolkit类和getField方法来绕过JVM沙箱,这与Security
Explorations证明给甲骨文的方式不同,因此研究人员认为,可能是其他人也发现了相同的漏洞,而不是甲骨文在处理漏洞报告过程中的信息泄露。根据甲骨文8月23日的报告显示,该公司计划在10月份发布一个重要的补丁,计划修复这两个漏洞,以及其他17个Security
Explorations报告的Java
7漏洞。Gowdiak对此表示,“在甲骨文6月份发布的补丁中,只修复了Security
Explorations报告的漏洞中的3个。
虽然我们与甲骨文联系和沟通过程已经相当完美,但到目前为止,我们也不知道为什么甲骨文将这么严重的错误留到10月份的补丁中。我们希望甲骨文能够尽快发布一个补丁。”目前甲骨文公司对此仍未有任何回复。Via
infoworld

via
arstechnica

(文/cnbeta)    

澳门新葡萄京官网注册 1