写点什么

Java 惊现 0day 漏洞,Oracle 紧急升级

  • 2012-09-02
  • 本文字数:612 字

    阅读完需:约 2 分钟

8 月中旬 Oracle 刚刚发布了 Java 7u6 和 6u34 版本,但短短半个月时间之后的 8 月 30 日,Oralce 紧急发布了新版本的 JDK 和 JRE,原因是发现了一个严重的 0day 漏洞 CVE-2012-4681 ,远程攻击者可以通过它绕开 SecurityManager 的限制执行代码,但服务器端和桌面端的 Java 程序不受该漏洞影响。

FireEye 于 8 月 26 日在网上发布了该漏洞的信息,随后 NIST 也发出了警告并进行了一些说明——在 Java 7u6 和 6u34 及之前的版本上,攻击者可以通过如下手段绕开 SecurityManager 的限制:

使用 com.sun.beans.finder.ClassFinder.findClass 并利用 forName 方法从任意包访问受限类(例如 sun.awt.SunToolkit),随后利用 getField 方法就能访问并修改私有成员属性了

攻击者就是通过 getField 方法取得运行 java.beans.Statement 所需的权限,覆盖该权限,允许运行所有代码,在 Statement 关闭 SecurityManager 后,Applet 就能“为所欲为”了。

赛门铁克的说明中表示,他们发现攻击者至少从8 月22 日起就已经通过该漏洞发动攻击了,并定位了两个提供恶意软件的站点,下载到的恶意软件经鉴定为 Trojan.Dropper

国内的 Freebuf 在分析恶意代码时发现了其中有这样一段代码,即“我有一只小毛驴,从来也不骑”。

String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi";如果您对该漏洞的细节感兴趣,可以阅读 DeepEnd Research 的这篇分析。建议在浏览器中使用 Java 的同学立刻将自己的 Java 升级到 7u7 或 6u35 版本

2012-09-02 09:304109
用户头像

发布了 135 篇内容, 共 60.1 次阅读, 收获喜欢 43 次。

关注

评论

发布
暂无评论
发现更多内容

王者荣耀商城异地多活架构设计

Geek_e5f2e5

中国特供版也残了!AMD 3GHz最强核显梦碎

科技之家

微服务引擎 MSE 企业版全新升级

阿里巴巴中间件

阿里云 微服务 云原生

三天吃透mybatis面试八股文

程序员大彬

Java mybatis

「Go框架」平滑关闭:要关闭服务,未处理完的请求怎么办?

Go学堂

golang 个人提升 平滑重启 程序员、 gin框架

使用 Pulumi 打造自己的多云管理平台

亚马逊云科技 (Amazon Web Services)

Amazon S3

BI工具数据看板对比:瓴羊Quick BI与Smart BI

流量猫猫头

BaseAdapter优化

芯动大师

ConversionService baseadapter viewholder

SkyWalking实现 Dubbo 微服务实现链路跟踪案例以及对接钉钉告警

忙着长大#

极客时间

RISC-V SIG 创建专属邮件列表和论坛板块

openEuler

Linux 操作系统 openEuler risc-v

OpenHarmony技术峰会举办“编程语言及应用框架分论坛” ,探讨应用开发新技术

Geek_2d6073

ChatGPT 是真的银弹吗? | 社区征文

宇宙之一粟

Go 思考 后端 征文投稿 ChatGPT

我,30岁程序员被裁员了,千万别干全栈

程序员晚枫

程序员 裁员 大龄求职

DevOps 与平台工程:企业该如何选择?

SEAL安全

DevOps IdP 平台工程 企业号 3 月 PK 榜

浅谈基于Web的跨平台桌面应用开发

京东科技开发者

Web 跨平台 nodejs 桌面端 企业号 3 月 PK 榜

2022年证券行业年度专题分析

易观分析

金融 证券 经济

架构训练营-模块六作业

Sam

架构实战营

拆分电商系统为微服务

Geek_e5f2e5

WindowsGUI自动化测试框架搭建之需求整理、详细设计和框架设计

Python 自动化测试 测试框架 WindowsGUI UIaotumation

瓴羊Quick BI和Power BI哪个比较好呢?

巷子

软件测试/测试开发 | 测试平台开发-前端开发之Vue.js 框架的使用

测试人

更高效、更实用的跨端开发选择

FinFish

flutter finclip 小程序容器 跨端框架

「Go工具箱」Pie :一个高性能、类型安全的slice操作库

Go学堂

golang 开源 程序员 个人成长

瓴羊Quick BI和Tableau哪个更适合复杂表格呢?

夏日星河

纵存科技加入龙蜥社区,共建高性能存储软件栈

OpenAnolis小助手

开源 合作伙伴 龙蜥社区 CLA 纵存科技

设计消息队列存储消息数据的 MySQL 表格

Geek_e5f2e5

低代码生成器 | 放开双手,专注业务,一键生成项目基础结构 + 重复代码

IT学习日记

开源项目 脚手架 代码自动生成 自动搭建项目

Matlab实现图像压缩

timerring

图像处理 图像压缩

2023金融科技四大机遇与挑战

易观分析

金融科技 金融 经济

旺链科技荣获科创中国数字经济技术创新峰会多个奖项

旺链科技

区块链+ 区块链、

Java惊现0day漏洞,Oracle紧急升级_Java_丁雪丰_InfoQ精选文章