写点什么

最新修订之后,Java 脆弱依旧

  • 2013-05-24
  • 本文字数:1052 字

    阅读完需:约 3 分钟

在 Java 最新修订发布几天后,安全研究员 Adam Gowdiak 就发现了另一个 Java 的漏洞。在附带的披露文章中,Gowdiak 表示Reflection API 缺陷会影响Java SE 7 的全部版本,而且“可以用来在目标系统上达到完全绕过Java 安全沙箱的目的”。该漏洞同时在插件/JDK 软件中存在,而服务器JRE 也未能幸免。通过Web 浏览器暴露的漏洞确实要求用户“在看到安全性警告窗口的时候,接受执行潜在地恶意Java 应用的风险,”Gowdiak 写道。

Gowdiak 宣称他的公司 Security Explorations 已经将漏洞报告及概念验证代码发送给 Oracle。

Security Explorations 最早在 2012 年 4 月与 Oracle 联系,特别向其通报了 Java SE 7 以及 Reflections API 中的安全问题。然而 Gowdiak 认为“看起来,Oracle 重点专注于处理‘许可的’类空间中潜在的 Reflection API 危险调用”——也就是不受信任的 applet 或 Web 启动应用程序这样的程序能够访问的类。

由于这一最新漏洞同时也影响服务器 JRE,这让事情变得有一些不寻常。上周,Oracle发布了一个补丁,修复了其他42 处缺陷,其中19 处在公司用来评估的CVSS 评测中得到了10 分(最严重)。不过其中大部分漏洞是针对客户端Java 的,而且只能够通过不受信任的applet 或是Web 启动应用程序来利用这些漏洞。

针对这些漏洞的补丁来得很及时。从一篇Timo Hirvonen 发表的短博文来看,或许是因为漏洞已经被添加到 CrimeBoss Cool CritX 攻击工具,以及渗透测试产品 Metasploit 上面,使用远程代码执行漏洞之一(CVE-2013-2423)的攻击已经出现。RedKit曽被报导过,但Hirvonen 向InfoQ 确认这是由F-Secure 的自动工具错误报告所致。

在该新闻之后,Java 在安全方面度过了艰难的几个月。在数月的负面报道之后,Oracle 最近委任Java 安全主管Milton Smith,Smith 在1 月份的一个电话会议中声明 Oracle 将专注于修复问题并增强与社区成员的交流。

继黑客利用 Java 中的 0day 缺陷对多家公司进行攻击后(这些公司包括 Apple Facebook Microsoft ,或许还有 Twitter ),Java 再次成为了头条新闻。

Oracle 需要集中更多的资源,以应对接下来与 Java 的安全问题进行的斗争。这也被视作 JDK 8 的发布推迟到 2014 年的一个原因

InfoQ 就此事询问 Oracle 的意见,但遭到了拒绝。

查看英文原文 Java Still Vulnerable, Despite Latest Patches


感谢杨赛对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2013-05-24 11:192638
用户头像

发布了 256 篇内容, 共 78.4 次阅读, 收获喜欢 10 次。

关注

评论

发布
暂无评论
发现更多内容

架构师训练营第1周作业——食堂就餐卡系统设计

在野

极客大学架构师训练营

作业1 餐卡系统设计

Geek_2e7dd7

架构师训练营第一周总结

hifly

软件架构 架构师 极客大学架构师训练营 #总结#

数据结构与算法之基础入门

shirley

数据结构 算法

食堂就餐卡系统设计

鲁米

架构设计

提高 TCP 性能的方法,你知多少?

小林coding

TCP 性能优化 高并发 网络

Facebook缓存技术演进:从单集群到多区域

伴鱼技术团队

架构 系统架构 分布式系统 缓存穿透 cache

架构师训练营-第1课总结-202006-架构设计

👑👑merlan

架构设计 UML #总结#

产品经理越来越不值钱了吗?

Neco.W

产品 产品经理

系统梳理主流定时器算法实现的差异以及应用

古月木易

定时器

食堂打卡系统架构设计文档

Frank Zeng

区块链如何打通征信行业的“任督二脉”?

CECBC

CECBC 区块链技术 征信 数据共享

译-面向前端开发人员的Docker入门指南

费马

Docker Linux 容器 运维 大前端

架构师训练营第一周学习总结

jiangnanage

架构设计

微服务架构中分布式事务实现方案怎样何取舍【转发】

古月木易

微服务

c# 之linq——小白入门级

moonlucy

TOGAF认证自学宝典

涛哥 数字产品和业务架构

架构 企业架构

架构师必备技能(灵魂拷问篇)

鲁米

架构师

架构师训练营-第一周学习总结

zcj

极客大学架构师训练营

架构师训练营-第一周作业

zcj

极客大学架构师训练营

架构师训练营第一周课堂学习总结

Frank Zeng

架构师训练营-开营

zcj

极客大学架构师训练营

【架构师训练营】第一个周课程总结

Mr.hou

极客大学架构师训练营

二叉树视频|留美六年毅然归国,85 后技术 VP 金超:我想把工业智能做好

二叉树视频

写作平台 二叉树 年少有为

架构师训练营-第一周-学习总结

Anrika

极客大学架构师训练营 架构总结

作为一个架构师,我是不是应该有很多职责?

架构师修行之路

程序员 架构 架构师

系统梳理主流定时器算法实现的差异以及应用

奈学教育

定时器

架构师训练营 - 食堂就餐卡系统设计

Pontus

极客大学架构师训练营

FPGA

Kevin Z

谈反应式编程在服务端中的应用,数据库操作优化,从20秒到0.5秒

newbe36524

C# Reactive netcore

第一周架构师总结

不在调上

最新修订之后,Java脆弱依旧_Java_Charles Humble_InfoQ精选文章