写点什么

Java 惊现 0day 漏洞,Oracle 紧急升级

  • 2012-09-02
  • 本文字数:612 字

    阅读完需:约 2 分钟

8 月中旬 Oracle 刚刚发布了 Java 7u6 和 6u34 版本,但短短半个月时间之后的 8 月 30 日,Oralce 紧急发布了新版本的 JDK 和 JRE,原因是发现了一个严重的 0day 漏洞 CVE-2012-4681 ,远程攻击者可以通过它绕开 SecurityManager 的限制执行代码,但服务器端和桌面端的 Java 程序不受该漏洞影响。

FireEye 于 8 月 26 日在网上发布了该漏洞的信息,随后 NIST 也发出了警告并进行了一些说明——在 Java 7u6 和 6u34 及之前的版本上,攻击者可以通过如下手段绕开 SecurityManager 的限制:

使用 com.sun.beans.finder.ClassFinder.findClass 并利用 forName 方法从任意包访问受限类(例如 sun.awt.SunToolkit),随后利用 getField 方法就能访问并修改私有成员属性了

攻击者就是通过 getField 方法取得运行 java.beans.Statement 所需的权限,覆盖该权限,允许运行所有代码,在 Statement 关闭 SecurityManager 后,Applet 就能“为所欲为”了。

赛门铁克的说明中表示,他们发现攻击者至少从8 月22 日起就已经通过该漏洞发动攻击了,并定位了两个提供恶意软件的站点,下载到的恶意软件经鉴定为 Trojan.Dropper

国内的 Freebuf 在分析恶意代码时发现了其中有这样一段代码,即“我有一只小毛驴,从来也不骑”。

String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi";如果您对该漏洞的细节感兴趣,可以阅读 DeepEnd Research 的这篇分析。建议在浏览器中使用 Java 的同学立刻将自己的 Java 升级到 7u7 或 6u35 版本

2012-09-02 09:304121
用户头像

发布了 135 篇内容, 共 60.2 次阅读, 收获喜欢 43 次。

关注

评论

发布
暂无评论
发现更多内容

fil挖矿怎么样?fil挖矿收益怎样?

fil挖矿怎么样 fil挖矿收益怎样

GitHub不再支持密码验证解决方案:SSH免密与Token登录配置

zhoulujun

git GitHub SSH Token 免密登录

Git 应该用 fetch 还是 pull

HoneyMoose

【Vue2.x 源码学习】第三十五篇 - 组件部分 - Vue.component 实现

Brave

源码 vue2 8月日更

架构实战营 毕业设计:设计电商秒杀系统

Ahu

前端之算法(四)快速排序

Augus

算法 8月日更

【自驱型成长】——控制感

LeifChen

压力 控制感 8月日更 自驱型成长

如何在二三线城市月薪过万(二)面试100人后的经验总结!教你如何做面霸

小鲍侃java

8月日更

区块链技术 | 数字货币的未来发展前景趋势分析

CECBC

毕业总结

Johnny

架构实战营

JavaScript继承的实现方式:原型语言对象继承对象原理剖析

zhoulujun

JavaScript

梳理会在Scrum中是活动还是事件?——《Scrum指南》重读有感(6)

Bruce Talk

Scrum 敏捷 随笔 Agile

新药研发周期越来越短,北鲲云超算平台如何提高药企竞争力?

北鲲云

从0开始的TypeScriptの七:函数

空城机

typescript 大前端 8月日更

上游思维:上工治未病

石云升

读书笔记 公司管理 8月日更 上游思维

看完这篇博客,Python Django 你就学会一半了

梦想橡皮擦

8月日更

万字文肝Python基础知识

ベ布小禅

8月日更

Android开发:Android Studio插件GsonFormat根据Json自动生成javabean的方法

三掌柜

8月日更 8月

区块链和比特币到底有什么关系?

CECBC

fil矿机价格怎么计算?fil矿机托管费用怎么计算?

fil矿机价格怎么计算 fil矿机托管费用怎么计算

Vue进阶(三十四): webstorm 应用 git 进行版本管理

No Silver Bullet

git Vue 8月日更

Linux从头学:所有编程语言中的栈操作,底层原理都在这里

Java 编程 架构 面试 架构师

阿里P8亲传Java面试指南,助我一路过关斩将,成功拿到大厂Offer

Java 编程 面试 程序人生 架构师

模式包括问题和解决方案

escray

学习 极客时间 如何落地业务建模 8月日更

持久层Mybatis中对于SQL注入的问题,聊聊你的想法?

卢卡多多

SQL优化 8月日更

Python代码阅读(第9篇):返回最长的输入对象

Felix

Python 编程 Code Programing 阅读代码

到底啥是区块链分叉?

CECBC

minetest Window编译运行

c++ 开源 游戏 我的世界

【前端 · 面试 】HTTP 总结(十二)—— URL 和 URI

编程三昧

面试 HTTP url 8月日更

Web框架Gin | Gin 中间件

xcbeyond

Go 语言 gin gin-middleware 8月日更

部署MinIO存储服务的四种方式

liuzhen007

8月日更

Java惊现0day漏洞,Oracle紧急升级_Java_丁雪丰_InfoQ精选文章