java 板


LINE

甲骨文漏洞猎人找到全新的Java 7伺服器漏洞 曹乙帆 / 编译 – 2013/04/23 上周甲骨文(Oracle)释出了修补多达42个全新安全漏洞的Java 7 Update 21安全更新程式 。本周一,波兰安全专家再度警告,其在全新出货的伺服器Java Runtime Environment(JRE)中,发现Reflection API存在的安全漏洞。 「该全新弱点被确认会感染所有版本的Java SE 7(包括最近发表的1.7.0_21-b11在内) ,」资深Java漏洞猎人暨波兰安全方案商Security Explorations创办人与执行长Adam Gowdiak在「Full Disclosure mailing list」论坛上指出:「透过该漏洞,能在目标系 统上完全避开Java安全沙盒的侦测。想要成功对Web浏览器发动漏洞攻击,需要适当的使 用者互动(在安全警示窗出现时,使用者必须承担潜在恶意Java应用程式的执行风险)。 」 根据Gowdiak在Security Explorations的漏洞部落格中表示,他已於周一向甲骨文提交漏 洞报告,其中包括概念式验证漏洞攻击程式码。 尽管在用户端的攻击上,必须在使用者不小心点选或允许的前提下,才可能让恶意应用程 式触发漏洞攻击。但原则上该安全漏洞能被用来避开Java沙盒,并可在用户端或伺服器上 执行任意程式码。 Java Reflection API安全漏洞持续成为甲骨文的一大挑战。该安全漏洞会欺骗挑战与回 应(Challenge-response)安全系统,以泄漏回应自身挑战的答案。但该漏洞另有不同之处 ,「令人觉得有意思的是,该全新安全疑虑不但会出现在JRE外挂/JDK软体中,同时也会 出现在最新才刚发表的Server JRE上,」Gowdiak表示。 来源:http://ppt.cc/sN28 --



※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.117.70.206







like.gif 您可能会有兴趣的文章
icon.png[问题/行为] 猫晚上进房间会不会有憋尿问题
icon.pngRe: [闲聊] 选了错误的女孩成为魔法少女 XDDDDDDDDDD
icon.png[正妹] 瑞典 一张
icon.png[心得] EMS高领长版毛衣.墨小楼MC1002
icon.png[分享] 丹龙隔热纸GE55+33+22
icon.png[问题] 清洗洗衣机
icon.png[寻物] 窗台下的空间
icon.png[闲聊] 双极の女神1 木魔爵
icon.png[售车] 新竹 1997 march 1297cc 白色 四门
icon.png[讨论] 能从照片感受到摄影者心情吗
icon.png[狂贺] 贺贺贺贺 贺!岛村卯月!总选举NO.1
icon.png[难过] 羡慕白皮肤的女生
icon.png阅读文章
icon.png[黑特]
icon.png[问题] SBK S1安装於安全帽位置
icon.png[分享] 旧woo100绝版开箱!!
icon.pngRe: [无言] 关於小包卫生纸
icon.png[开箱] E5-2683V3 RX480Strix 快睿C1 简单测试
icon.png[心得] 苍の海贼龙 地狱 执行者16PT
icon.png[售车] 1999年Virage iO 1.8EXi
icon.png[心得] 挑战33 LV10 狮子座pt solo
icon.png[闲聊] 手把手教你不被桶之新手主购教学
icon.png[分享] Civic Type R 量产版官方照无预警流出
icon.png[售车] Golf 4 2.0 银色 自排
icon.png[出售] Graco提篮汽座(有底座)2000元诚可议
icon.png[问题] 请问补牙材质掉了还能再补吗?(台中半年内
icon.png[问题] 44th 单曲 生写竟然都给重复的啊啊!
icon.png[心得] 华南红卡/icash 核卡
icon.png[问题] 拔牙矫正这样正常吗
icon.png[赠送] 老莫高业 初业 102年版
icon.png[情报] 三大行动支付 本季掀战火
icon.png[宝宝] 博客来Amos水蜡笔5/1特价五折
icon.pngRe: [心得] 新鲜人一些面试分享
icon.png[心得] 苍の海贼龙 地狱 麒麟25PT
icon.pngRe: [闲聊] (君の名は。雷慎入) 君名二创漫画翻译
icon.pngRe: [闲聊] OGN中场影片:失踪人口局 (英文字幕)
icon.png[问题] 台湾大哥大4G讯号差
icon.png[出售] [全国]全新千寻侘草LED灯, 水草

请输入看板名称,例如:Tech_Job站内搜寻

TOP