作者tomoyaken14 (黑轮)
看板java
标题[新闻]甲骨文漏洞猎人找到全新的Java7伺服器漏洞
时间Wed Apr 24 09:41:14 2013
甲骨文漏洞猎人找到全新的Java 7伺服器漏洞
曹乙帆 / 编译 – 2013/04/23
上周甲骨文(Oracle)释出了修补多达42个全新安全漏洞的Java 7 Update 21安全更新程式
。本周一,波兰安全专家再度警告,其在全新出货的伺服器Java Runtime
Environment(JRE)中,发现Reflection API存在的安全漏洞。
「该全新弱点被确认会感染所有版本的Java SE 7(包括最近发表的1.7.0_21-b11在内)
,」资深Java漏洞猎人暨波兰安全方案商Security Explorations创办人与执行长Adam
Gowdiak在「Full Disclosure mailing list」论坛上指出:「透过该漏洞,能在目标系
统上完全避开Java安全沙盒的侦测。想要成功对Web浏览器发动漏洞攻击,需要适当的使
用者互动(在安全警示窗出现时,使用者必须承担潜在恶意Java应用程式的执行风险)。
」
根据Gowdiak在Security Explorations的漏洞部落格中表示,他已於周一向甲骨文提交漏
洞报告,其中包括概念式验证漏洞攻击程式码。
尽管在用户端的攻击上,必须在使用者不小心点选或允许的前提下,才可能让恶意应用程
式触发漏洞攻击。但原则上该安全漏洞能被用来避开Java沙盒,并可在用户端或伺服器上
执行任意程式码。
Java Reflection API安全漏洞持续成为甲骨文的一大挑战。该安全漏洞会欺骗挑战与回
应(Challenge-response)安全系统,以泄漏回应自身挑战的答案。但该漏洞另有不同之处
,「令人觉得有意思的是,该全新安全疑虑不但会出现在JRE外挂/JDK软体中,同时也会
出现在最新才刚发表的Server JRE上,」Gowdiak表示。
来源:
http://ppt.cc/sN28
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.117.70.206