Java 最近处在风口浪尖上,这是最近发生的 Java 安全问题 CVE-2012-4681 所带来的杂乱状况的影响。问题还包括相关的一系列针对 Java 浏览器插件攻击的漏洞 CVE-2012-1682 、 CVE-2012-3136 和 CVE-2012-0547 。这些安全问题已经成为大家关注的焦点,特别是当相关攻击代码被加入到 Blackhole 这一臭名昭著的黑客攻击工具之后,情况变得更加严重。这一工具通过不断尝试大量可利用的漏洞集来尝试攻击目标机器。这 4 个漏洞会影响 Oracle Java SE7 第六次升级补丁及之前版本。其中漏洞 0547 也影响到 Java 6 第 34 次升级补丁及之前版本。
波兰的安全创业公司 Security Explorations 早在四月份就向 Oracle 和苹果非公开披露了这一缺陷。就在这些漏洞刚刚获得媒体的高度关注以后不久,Oracle 在 8 月 30 日发布了新的安全补丁(Java 7 第七次升级补丁),但是现在看来,正是 Oracle 发布的这一安全补丁自身引入了漏洞。“我可以确信 Oracle 在 8 月 30 日发布的 Java7 第七次升级补丁包含了安全漏洞。这些漏洞可以被攻击者利用以绕开 Java 的安全沙箱。”在和 InfoQ 的邮件沟通中,Security Explorations 的创始人和 CEO Adam Gowdiak 谈到,“这其中包括了在这一补丁发布之后所发现的缺陷,同时在 8 月 31 日,这些漏洞已经报告给了 Oracle。”
不同于早先的安全漏洞,在实际环境中并没有发现针对这些缺陷的攻击,但是 Security Explorations 的状态页面显示,利用报告中包含的概念验证代码,收到报告的公司已经验证了可以利用漏洞进行攻击。
Oracle 现在开始和其他平台一样为 OS X 提供 Java SE 7,而苹果仍旧为自己的操作系统维护 Java 6。苹果在 9 月 5 日星期三发布了针对 0547 漏洞的 Java 升级补丁。用于OS X 2012-005 的Java 和 用于Mac OS X 10.6 的Java 更新10 已经将网页浏览器设置为不自动运行Java 应用程序(Applet),另外,当一段时间内没有应用程序(Applet)运行时,Java 网页插件将被停用。
苹果正由于发布Java 升级补丁比Orcale 所支持的平台滞后数月而受到批评。Flashback 这一臭名昭著的木马已经展现出这一做法的危险性。这一木马所利用的漏洞在二月已经被Oracle 修复,但直到四月份才在OS X 修复,这导致 670,000 台 OS X 的机器被感染成为僵尸网络机器(strain botnet)。在这之后,苹果公司开始更快地响应,在六月份,他们第一次与Oracle 同步发布了升级补丁。
4681 漏洞也存在于 IBM 的 Java 运行时。9 月 11 日漏洞的安全警告和概念验证代码已经报告给了厂商。
由于这一问题并不会影响 Java 单机桌面应用和服务器上运行的 Java,Java 7 的用户被建议在浏览器中禁用 Java 插件,仅当必须使用 Java 时再开启,或者使用其他的浏览器。美国计算机应急小组(US-CERT)提供了进一步的建议和说明,他们同时建议如果可能,应当将Java 整体卸载。
查看英文原文: Oracle and Apple Struggle to Deal with Java Security Issues
感谢侯伯薇对本文的审校。
给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。
评论