写点什么

Oracle 和苹果遭受 Java 安全问题困扰

2012 年 9 月 17 日

Java 最近处在风口浪尖上,这是最近发生的 Java 安全问题 CVE-2012-4681 所带来的杂乱状况的影响。问题还包括相关的一系列针对 Java 浏览器插件攻击的漏洞 CVE-2012-1682 CVE-2012-3136 CVE-2012-0547 。这些安全问题已经成为大家关注的焦点,特别是当相关攻击代码被加入到 Blackhole 这一臭名昭著的黑客攻击工具之后,情况变得更加严重。这一工具通过不断尝试大量可利用的漏洞集来尝试攻击目标机器。这 4 个漏洞会影响 Oracle Java SE7 第六次升级补丁及之前版本。其中漏洞 0547 也影响到 Java 6 第 34 次升级补丁及之前版本。

波兰的安全创业公司 Security Explorations 早在四月份就向 Oracle 和苹果非公开披露了这一缺陷。就在这些漏洞刚刚获得媒体的高度关注以后不久,Oracle 在 8 月 30 日发布了新的安全补丁(Java 7 第七次升级补丁),但是现在看来,正是 Oracle 发布的这一安全补丁自身引入了漏洞。“我可以确信 Oracle 在 8 月 30 日发布的 Java7 第七次升级补丁包含了安全漏洞。这些漏洞可以被攻击者利用以绕开 Java 的安全沙箱。”在和 InfoQ 的邮件沟通中,Security Explorations 的创始人和 CEO Adam Gowdiak 谈到,“这其中包括了在这一补丁发布之后所发现的缺陷,同时在 8 月 31 日,这些漏洞已经报告给了 Oracle。”

不同于早先的安全漏洞,在实际环境中并没有发现针对这些缺陷的攻击,但是 Security Explorations 的状态页面显示,利用报告中包含的概念验证代码,收到报告的公司已经验证了可以利用漏洞进行攻击。

Oracle 现在开始和其他平台一样为 OS X 提供 Java SE 7,而苹果仍旧为自己的操作系统维护 Java 6。苹果在 9 月 5 日星期三发布了针对 0547 漏洞的 Java 升级补丁。用于OS X 2012-005 的Java 用于Mac OS X 10.6 的Java 更新10 已经将网页浏览器设置为不自动运行Java 应用程序(Applet),另外,当一段时间内没有应用程序(Applet)运行时,Java 网页插件将被停用。

苹果正由于发布Java 升级补丁比Orcale 所支持的平台滞后数月而受到批评。Flashback 这一臭名昭著的木马已经展现出这一做法的危险性。这一木马所利用的漏洞在二月已经被Oracle 修复,但直到四月份才在OS X 修复,这导致 670,000 台 OS X 的机器被感染成为僵尸网络机器(strain botnet)。在这之后,苹果公司开始更快地响应,在六月份,他们第一次与Oracle 同步发布了升级补丁。

4681 漏洞也存在于 IBM 的 Java 运行时。9 月 11 日漏洞的安全警告和概念验证代码已经报告给了厂商。

由于这一问题并不会影响 Java 单机桌面应用和服务器上运行的 Java,Java 7 的用户被建议在浏览器中禁用 Java 插件,仅当必须使用 Java 时再开启,或者使用其他的浏览器。美国计算机应急小组(US-CERT)提供了进一步的建议和说明,他们同时建议如果可能,应当将Java 整体卸载。

查看英文原文: Oracle and Apple Struggle to Deal with Java Security Issues


感谢侯伯薇对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012 年 9 月 17 日 03:291554

评论

发布
暂无评论
发现更多内容

架构师训练营第五周学习总结

邢永春

GO训练营第1周总结

Glowry

第五周-作业1

Mr_No爱学习

第五周作业

hunk

极客大学架构师训练营

第 9 周 作业

Pyr0man1ac

第九周 性能优化(三)作业

钟杰

极客大学架构师训练营

架构师训练营第 1 期 -- 第九周学习总结

发酵的死神

极客大学架构师训练营

Week5 一致性Hash

evildracula

学习 架构

性能优化-数据库,JVM, 秒杀场景

garlic

极客大学架构师训练营

架构师训练营第九周总结

听夜雨

极客大学架构师训练营

成为架构师 - 架构师训练营第 05 周

陈永龙Vincent

架构师训练营 - 第 9周课后作业 - JVM 垃圾回收原理

树森

架构师训练营 - week09 - 作业

lucian

极客大学架构师训练营

第九周总结

睁眼看世界

极客大学架构师训练营

一致性Hash算法

jorden wang

架构师训练营第一期-第九周课后作业

卖猪肉的大叔

极客大学架构师训练营

华为的研发基地“欧洲小镇”

网络技术平台

华为 网络 研发中心 欧洲小镇

第 8 周 作业

Pyr0man1ac

架构第九周总结

Geek_Gu

极客大学架构师训练营

架构师训练营 - week09 - 学习总结

lucian

极客大学架构师训练营

关于一致性Hash算法的测试

皮蛋

第 8 周 996日记

Pyr0man1ac

Architecture Phase1 Week9:Summarize

phylony-lu

极客大学架构师训练营

第九周作业 (作业一)

Geek_83908e

架构师一期

架构第九周作业

Geek_Gu

极客大学架构师训练营

架构师训练营第九周命题作业

一马行千里

学习 极客大学架构师训练营

第五周作业总结

hunk

极客大学架构师训练营

架构师训练营第一期-第九周学习总结

卖猪肉的大叔

【JVM】肝了一周,吐血整理出这份超硬核的JVM笔记(升级版)!!

冰河

JVM 性能调优 JVM原理 Java虚拟机

与前端训练营的日子 --Week04

SamGe

学习

架构师训练营第九周学习总结

Gosling

极客大学架构师训练营

InfoQ 极客传媒开发者生态共创计划线上发布会

InfoQ 极客传媒开发者生态共创计划线上发布会

Oracle和苹果遭受Java安全问题困扰-InfoQ