写点什么

两年来首次发现 Java 0day 漏洞

  • 2015-08-15
  • 本文字数:1031 字

    阅读完需:约 3 分钟

最近 Oracle 公司宣布了一个近两年以来首个Java 0day 漏洞,它影响着Java Web Start 的应用程序沙箱和Java applets 的沙箱。考虑到此漏洞正在被利用,加上它便于开发,根据CVSS(通用漏洞评分系统)给此漏洞以最高风险级别的评分。 Oracle 公司已经发布了一个补丁,并敦促客户尽快升级。

该漏洞被确认为 CVE-2015-2590 ,它是趋势科技的智能防护网络在分析一些针对北约成员国和美国国防组织的电子邮件后被发现的。这些电子邮件包含了一些链接,指向了 Java applets 的网站,这些 Java applets 利用上述漏洞,允许在受害者电脑上执行远程代码。

重要的是要知道这个漏洞并不会影响整个 Java 运行环境,只影响 Java Web Start 程序和 Java applets。它不会影响到服务器部署的应用,甚至也不会影响在本地运行的客户端部署的 Java 应用程序。这意味着用户只要不导航到包含这类应用的网站,就不会有危险。但是对于那些已经做了危险操作的人, Oracle 根据用户的属性确定了 2 个等级的风险

由于这种漏洞允许活动中的用户执行代码,所以它所造成的影响依赖于这个用户是否拥有管理员权限。在 Linux 和 Solaris 系统、还有 Windows 系统,比如 Windows Vista 或之后的系统,用户通常是没有管理员权限的(在 Windows Vista 和之后的系统中,用户可能有这样的权限,但是需要一个明确的确认,进入提升模式来获取管理员权限);针对这种情况,Oracle 公司的 CVSS 评分是 7.5(总分 10 分)。然而,一些系统像 Windows XP,它的使用者仍然占有很大的比重,这些用户通常是标准用户,系统直接授予他们管理员权限。这使得他们特别容易受到远程代码执行的攻击。针对这类情况,Oracle 评分为10 分(总分10 分)。

Oracle 公司在 7 月 14 日,发布了一个针对这个漏洞的修复,并将其作为他们 CPU 计划的一部分,或者关键补丁的更新。CPU 每个季度发布一次版本,并且每次都包含上一个季度漏洞的修复。很可能是因为漏洞是在计划更新时间的前不久发现的,所以将这个漏洞的修复作为计划升级的一部分。如果此漏洞是在其他时间发现,Oracle 公司很可能发布一个计划之外的安全警告更新,就像曾经发生过的漏洞 CVE-2013-1493 一样。

查看英文原文: First Zero-Day Java Vulnerability in Two Years


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-08-15 18:363828

评论

发布
暂无评论
发现更多内容

接口测试实战 | Android 高版本无法抓取 HTTPS,怎么办?

霍格沃兹测试开发学社

代码层走进“百万级”分布式ID设计

得物技术

数据库 缓存 分布式 性能优化 企业号九月金秋榜

“云”上交通,“翼”路畅行

天翼云开发者社区

多线程原理和常用方法以及Thread和Runnable的区别

共饮一杯无

多线程 8月月更

【Django | allauth】重写allauth重置密码方法

计算机魔术师

8月月更

leetcode 28. Implement strStr() 实现 strStr()(简单)

okokabcd

LeetCode 数据结构与算法

【Django | 开发】面试招聘信息网站(划分面试官权限&集成钉钉消息)

计算机魔术师

8月月更

测试管理和领导力秘诀,12+ BAT 大厂测试经理的干货经验汇总

霍格沃兹测试开发学社

软件测试 | 测试开发 | 接口自动化测试之JSON Schema模式改如何使用?

测吧(北京)科技有限公司

JSON Schema

技术分享 | 软件测试入门必会-流程管理平台

霍格沃兹测试开发学社

看完这篇你将get VR/AR沉浸式技术的“创作密码”,速来!

神奇视野

【Django | 开发】面试招聘信息网站(处理产品细节和权限&美化页面样式)

计算机魔术师

8月月更

测试开发基础 | Python 算法与数据结构面试题系列一(附答案)

霍格沃兹测试开发学社

MobTech 短信验证使用说明与应用创建

MobTech袤博科技

App sdk 短信验证

测试面试 | 一道大厂算法面试真题,你能答上来吗?(附答案)

霍格沃兹测试开发学社

技术分享 | 一文带你了解测试流程的体系

霍格沃兹测试开发学社

【Django | 开发】面试招聘网站(增加csv,excel导出&企业域账号集成&日志管理功能)

计算机魔术师

8月月更

测试面试 | 某 BAT 大厂测试开发面试真题与重点解析

霍格沃兹测试开发学社

安全可信 | 首批!天翼云通过可信云安全云工作负载保护平台评估

天翼云开发者社区

OpenHarmony技术挑战课题征集

OpenHarmony开发者

OpenHarmony

加快云网融合发展,打通算力传输大动脉!

天翼云开发者社区

恭喜天翼云“翼起飞”战队在CCF国际AIOps挑战赛中夺得亚军!

天翼云开发者社区

【Django | allauth】useprofile 用户模型扩展

计算机魔术师

8月月更

驭数有道,天翼云TeleDB系列产品全新升级

天翼云开发者社区

呆猫云工作站助力Omniverse云上部署试水元宇宙

神奇视野

教育信息化迈入2.0时代,呆猫云工作站破除技术壁垒

神奇视野

【Django | 开发】面试招聘信息网站(快速搭建核心需求)

计算机魔术师

8月月更

软件测试 | 测试开发 | 接口自动化测试中如何对xml 格式做断言验证?

测吧(北京)科技有限公司

接口自动化测试

《低代码发展白皮书(2022年)》&《2022低代码·无代码应用案例汇编》,发布了

华为云开发者联盟

云计算 后端 低代码 开发

技术分享 | 做为测试,那些必须掌握的测试技术体系

霍格沃兹测试开发学社

【小程序项目开发-- 京东商城】uni-app之自定义搜索组件(下) -- 搜索历史

计算机魔术师

8月月更

两年来首次发现Java 0day漏洞_Java_Abraham Marín Pérez_InfoQ精选文章