写点什么

又是一周,又一个 Java 安全漏洞被发现

  • 2012-10-16
  • 本文字数:950 字

    阅读完需:约 3 分钟

波兰一家新创建的公司 Security Explorations 最近发现了 Java 又一个安全漏洞,黑客可以通过此漏洞避开一些关键性的安全检查措施。受该漏洞影响的 Java 版本包括 Java SE 5、6 和 7。据该公司透露,以下是容易受到攻击的 Java 版本:

  • Java SE 5 Update 22 (build 1.5.0_22-b03)
  • Java SE 6 Update 35 (build 1.6.0_35-b10)
  • Java SE 7 Update 7 (build 1.7.0_07-b10)

Security Explorations 公司的 Adam Gowdiak这样写道:“该漏洞是非常危险的——我们已经成功地开发并完成了一套,可运行于Java SE 5、6 和7 环境中的Java 安全沙盒。”

Security Explorations 在一台 32 位 Windows 7 系统上,分别对 Chrome、Firefox、IE、Opera 和 Safari 进行了漏洞检测试验。Gowdiak 对 InfoQ 确认道:“虽然试验只是在 32 位的 Windows 7 系统上进行,但该漏洞是与平台无关的,只要该平台上安装有内置 Java 插件的浏览器,那么该漏洞都会出现。”

至于该漏洞会允许黑客们做些什么,Gowdiak 告诉 InfoQ:

一些恶意的 Java applet 或者应用程序可以在没有限制的情况下在 Java 进程中运行,比如浏览器。这样,黑客们便可以在这样的进程中安装一些程序,并使用登陆用户的权限来查看、修改甚至删除数据。作为验证,我们成功的创建了一个文件并执行了“notepad.exe”。

Security Explorations 已经找到了 50 处由该漏洞引起的瑕疵,可查看关于此问题的时间线。对于这 50 处瑕疵,Gowdiak 告诉我们:

  • 31 处已经报告给了 Oracle(17 种完全绕过沙箱漏洞)
  • 2 处报告给了 Apple(1 个完全绕过沙箱漏洞)
  • 17 处报告给了 IBM(10 中完全绕过沙箱漏洞)

上个月,Oracle 又发现了另外一处,并为其打了一个patch 。据报道,Oracle 在4 个月前就已经意识到了这个最新安全漏洞的危害性,Oracle 也已经确认了该漏洞的存在。Gowdiak 还表示,他们正在评估修复方案,希望在Java SE 的下次(2012 年10 月16 号)更新发布中会包含此修复。对此,我们已经联系过了Oracle,但到此文发布时,仍然没有收到任何回复。

查看英文原文 Another Week, Another Java Security Issue Found


感谢贾国清对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2012-10-16 21:522649

评论

发布
暂无评论
发现更多内容

基于蓝鲸流程服务实现发布管理

PingCode研发中心

流程服务

大学生想进大厂是通过自学还是java培训

小谷哥

湘潭等级测评机构有哪些?排名是怎样?

行云管家

等保 等级保护 等保测评 等保测评机构

Nydus | 容器镜像基础

SOFAStack

Nydus

前端一面必会手写面试题指南

helloworld1024fd

JavaScript

遗留代码处理技巧与案例演示

京东科技开发者

数据结构 重构 代码重构 遗留代码 耦合

enca 1.19 移植指南 (openEuler 20.03 LTS SP1)

openEuler

centos 开源 操作系统 openEuler enca

react源码分析:实现react时间分片

flyzz177

React

flask 1.1.2 移植指南(openEuler 20.03 LTS SP1)

openEuler

flask centos Web 操作系统 openEuler

云资源管理平台有哪些?重点推荐哪家?

行云管家

云计算 云服务 云资源 云管理

实现Promise的原型方法--前端面试能力提升

helloworld1024fd

JavaScript

云栖大会|未来,万物皆是计算机?

云布道师

云计算 阿里云 2022云栖大会

DevEco Device Tool 3.1 Beta1版本发布,产品化配置优化添加自定义烧录器

HarmonyOS开发者

HarmonyOS

VoneBaaS与兆芯完成产品兼容互认证

旺链科技

区块链 产业区块链 VoneBaaS 企业号十月PK榜

react源码分析:babel如何解析jsx

flyzz177

React

js手写题汇总(面试前必刷)

helloworld1024fd

JavaScript

CRAFTS:端对端的场景文本检测器

合合技术团队

人工智能 深度学习 文字识别 端口 文本检测

几个常见的js手写题,你能写出来几道

helloworld1024fd

JavaScript

开发培训学习后工作好找吗?

小谷哥

线上直播 | 未来金融研究所——以应用为中心,重塑金融研发效率

CODING DevOps

云原生 金融

深圳哪所前端培训机构比较靠谱

小谷哥

OpenHarmony社区运营报告(2022年10月)

OpenHarmony开发者

OpenHarmony

双线程技术为什么能让小程序用户体验量级提升

Onegun

小程序 线程 小程序化

女生参加前端培训,学习不如男生吗?

小谷哥

react源码分析:深度理解React.Context

flyzz177

React

2023年网络安全趋势

SEAL安全

网络安全 软件供应链安全

计算机网络:随机访问介质访问控制之CSMA协议

timerring

11月月更 CSMA

大数据培训学习合适吗?

小谷哥

又是一周,又一个Java安全漏洞被发现_Java_Charles Humble_InfoQ精选文章