写点什么

最新修订之后,Java 脆弱依旧

  • 2013-05-24
  • 本文字数:1052 字

    阅读完需:约 3 分钟

在 Java 最新修订发布几天后,安全研究员 Adam Gowdiak 就发现了另一个 Java 的漏洞。在附带的披露文章中,Gowdiak 表示Reflection API 缺陷会影响Java SE 7 的全部版本,而且“可以用来在目标系统上达到完全绕过Java 安全沙箱的目的”。该漏洞同时在插件/JDK 软件中存在,而服务器JRE 也未能幸免。通过Web 浏览器暴露的漏洞确实要求用户“在看到安全性警告窗口的时候,接受执行潜在地恶意Java 应用的风险,”Gowdiak 写道。

Gowdiak 宣称他的公司 Security Explorations 已经将漏洞报告及概念验证代码发送给 Oracle。

Security Explorations 最早在 2012 年 4 月与 Oracle 联系,特别向其通报了 Java SE 7 以及 Reflections API 中的安全问题。然而 Gowdiak 认为“看起来,Oracle 重点专注于处理‘许可的’类空间中潜在的 Reflection API 危险调用”——也就是不受信任的 applet 或 Web 启动应用程序这样的程序能够访问的类。

由于这一最新漏洞同时也影响服务器 JRE,这让事情变得有一些不寻常。上周,Oracle发布了一个补丁,修复了其他42 处缺陷,其中19 处在公司用来评估的CVSS 评测中得到了10 分(最严重)。不过其中大部分漏洞是针对客户端Java 的,而且只能够通过不受信任的applet 或是Web 启动应用程序来利用这些漏洞。

针对这些漏洞的补丁来得很及时。从一篇Timo Hirvonen 发表的短博文来看,或许是因为漏洞已经被添加到 CrimeBoss Cool CritX 攻击工具,以及渗透测试产品 Metasploit 上面,使用远程代码执行漏洞之一(CVE-2013-2423)的攻击已经出现。RedKit曽被报导过,但Hirvonen 向InfoQ 确认这是由F-Secure 的自动工具错误报告所致。

在该新闻之后,Java 在安全方面度过了艰难的几个月。在数月的负面报道之后,Oracle 最近委任Java 安全主管Milton Smith,Smith 在1 月份的一个电话会议中声明 Oracle 将专注于修复问题并增强与社区成员的交流。

继黑客利用 Java 中的 0day 缺陷对多家公司进行攻击后(这些公司包括 Apple Facebook Microsoft ,或许还有 Twitter ),Java 再次成为了头条新闻。

Oracle 需要集中更多的资源,以应对接下来与 Java 的安全问题进行的斗争。这也被视作 JDK 8 的发布推迟到 2014 年的一个原因

InfoQ 就此事询问 Oracle 的意见,但遭到了拒绝。

查看英文原文 Java Still Vulnerable, Despite Latest Patches


感谢杨赛对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2013-05-24 11:192608
用户头像

发布了 256 篇内容, 共 77.3 次阅读, 收获喜欢 10 次。

关注

评论

发布
暂无评论
发现更多内容

软件测试 | 接口测试文件上传测试

测吧(北京)科技有限公司

测试

软件测试/测试开发 | 做为测试,那些不得不掌握的测试技术体系

测试人

软件测试 自动化测试 测试开发

大数据应用场景下,标签策略如何实现价值最大化?

袋鼠云数栈

标签体系

数据服务门槛再提升,这个“TOP1玩家”凭何再度领军?

澳鹏Appen

人工智能 自动驾驶 智能驾驶 数据标注

软件测试/测试开发 | 这些常用测试平台,你们公司在用的是哪些呢?

测试人

软件测试 自动化测试 测试开发

海量并发低延时 RTC-CDN 系统架构设计(下)

网易云信

实时音视频

Deltatech Gaming Ltd. 携手 F5 缔造更安全的在线游戏体验

F5 Inc

安全 游戏 waf

软件测试/测试开发 | 测试人员必须掌握的测试用例

测试人

软件测试 自动化测试 测试开发 测试用例

BlueShore Financial 通过 F5 筑起财务安全防线

F5 Inc

自动化 金融 WAAP

手把手教大家在 gRPC 中使用 JWT 完成身份校验

江南一点雨

Java gRPC

缤纷三月,安势信息邀您共话企业开源风险治理

安势信息

开源 安全合规 清源CleanSource SCA 安势信息 开源风险治理

软件测试/测试开发 | 黑盒测试方法论—边界值

测试人

软件测试 自动化测试 测试开发 测试用例 测试方法

怎么写一份好的接口文档?

Liam

Java API 免费API接口 API接口 API接口文档

《Linux命令行与shell脚本编程大全》有奖书评活动!

图灵教育

Linux shell脚本编程

《Linux命令行与shell脚本编程大全》有奖书评活动!

图灵社区

Linux shell脚本编程 shell脚本

【网易云信】海量并发低延时 RTC-CDN 系统架构设计(下)

网易智企

IM RTC 实时音视频

架构训练营模块六作业

gigifrog

ChatGPT 可收费的那种产品该如何实现?一点尝试 | 社区征文

非喵鱼

Java openai ChatGPT

2023年1月用户体验GX评测:商业银行抢抓新春营销旺季,多措并举持续提升用户体验

易观分析

金融 银行 经济

软件测试 | 接口自动化测试代理配置

测吧(北京)科技有限公司

测试

软件测试/测试开发 | 黑盒测试方法论—等价类

测试人

软件测试 自动化测试 测试开发 测试用例 测试方法

HarmonyOS Connect认证测试

HarmonyOS开发者

HarmonyOS

CodeArts Snap:辅助你编程的神器

华为云开发者联盟

云计算 华为云 企业号 2 月 PK 榜 华为云开发者联盟

【立哥】【每日一个小知识】“奔”字为什么这样写?

Lee Chen

软件测试 | 接口自动化测试超时处理

测吧(北京)科技有限公司

测试

详解神经网络基础部件BN层

华为云开发者联盟

人工智能 华为云 企业号 2 月 PK 榜 华为云开发者联盟

GitHub标星30K+的Java面试八股文长啥样?

小小怪下士

Java 程序员 面试

软件测试 | From请求

测吧(北京)科技有限公司

测试

Bytebase:让数据库管理和协作变得无缝

天黑黑

MySQL 云原生 dba 数据库管理工具

抽丝剥茧!为您揭秘ChatGPT背后的数据库

华为云开发者联盟

数据库 华为云 ChatGPT 企业号 2 月 PK 榜 华为云开发者联盟

最新修订之后,Java脆弱依旧_Java_Charles Humble_InfoQ精选文章