QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

Java 惊现 0day 漏洞,Oracle 紧急升级

  • 2012-09-02
  • 本文字数:612 字

    阅读完需:约 2 分钟

8 月中旬 Oracle 刚刚发布了 Java 7u6 和 6u34 版本,但短短半个月时间之后的 8 月 30 日,Oralce 紧急发布了新版本的 JDK 和 JRE,原因是发现了一个严重的 0day 漏洞 CVE-2012-4681 ,远程攻击者可以通过它绕开 SecurityManager 的限制执行代码,但服务器端和桌面端的 Java 程序不受该漏洞影响。

FireEye 于 8 月 26 日在网上发布了该漏洞的信息,随后 NIST 也发出了警告并进行了一些说明——在 Java 7u6 和 6u34 及之前的版本上,攻击者可以通过如下手段绕开 SecurityManager 的限制:

使用 com.sun.beans.finder.ClassFinder.findClass 并利用 forName 方法从任意包访问受限类(例如 sun.awt.SunToolkit),随后利用 getField 方法就能访问并修改私有成员属性了

攻击者就是通过 getField 方法取得运行 java.beans.Statement 所需的权限,覆盖该权限,允许运行所有代码,在 Statement 关闭 SecurityManager 后,Applet 就能“为所欲为”了。

赛门铁克的说明中表示,他们发现攻击者至少从8 月22 日起就已经通过该漏洞发动攻击了,并定位了两个提供恶意软件的站点,下载到的恶意软件经鉴定为 Trojan.Dropper

国内的 Freebuf 在分析恶意代码时发现了其中有这样一段代码,即“我有一只小毛驴,从来也不骑”。

String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi";如果您对该漏洞的细节感兴趣,可以阅读 DeepEnd Research 的这篇分析。建议在浏览器中使用 Java 的同学立刻将自己的 Java 升级到 7u7 或 6u35 版本

2012-09-02 09:304296
用户头像

发布了 135 篇内容, 共 62.3 次阅读, 收获喜欢 43 次。

关注

评论

发布
暂无评论
发现更多内容

袋鼠云产品功能更新报告12期|让数据资产管理更高效

袋鼠云数栈

倒计时1天 | 袋鼠云秋季发布会明日10:00开幕,我们云上见!

袋鼠云数栈

汇聚全球智慧·共绘软件蓝图,2025北京软博会

AIOTE智博会

软博会 世亚软博会 北京软博会

到底什么学历可以胜任程序员?

秃头小帅oi

腾讯云的相关DDoS攻击问题概览

网络安全服务

腾讯云 服务器 DDoS 腾讯云服务器 DDoS 攻击

2024年中国IT用户满意度调研结果公布

极客天地

资源成本降低60%,揭秘Serverless的省钱秘籍

华为云开发者联盟

容器 运维 #Serverless CCE

CQ社区版 v2024.10 | 支持k8s、helm部署!

BinTools图尔兹

k8s Helm 数据安全 数据库管理 CloudQuery

阿里巴巴商品搜索API返回值中的关键信息点

技术冰糖葫芦

API 接口 API 测试 API 协议 API 优先

鸿蒙生态崛起,开发者如何抓住这波“红利”?

最新动态

基于纯血鸿蒙开发,微信适配情况如何?

博文视点Broadview

ppt文字描边怎么设置?用这2个软件轻松制作!

职场工具箱

职场 PPT 办公软件 AI生成PPT

【活动预告】Apache TsFile 干货总结在 COSCON'24 等你~!

Apache IoTDB

云电脑的性价比高么

青椒云云电脑

云电脑

Java EasyExcel 导出报内存溢出如何解决

不在线第一只蜗牛

Java 内存

掌握数据,赢得市场 —— 淘宝商品详情API让电商运营更精准

技术冰糖葫芦

API 接口 API 测试 API 协议 API 优先

利用 Vector 将 Kafka 中的日志数据高效写入 GreptimeDB

Greptime 格睿科技

kafka 时序数据库 vector

Laravel后台极速开发框架 - 集成日历组件

YangGe

laravel

Java惊现0day漏洞,Oracle紧急升级_Java_丁雪丰_InfoQ精选文章