-
-
Java因“破”补丁再现两年前的漏洞
-
发表于: 2016-4-27 18:40 2059
-
新闻链接:http://www.seehand.com/community/1441.html
新闻时间:2016.3.17
新闻正文:Oracle公司为修复Java一项严重的漏洞在2013年发布的一项补丁失效,其可被轻易绕过,安全研究人员警告称。这使得该漏洞又可被利用,为攻击者针对安装最新版本Java的电脑和服务器实施攻击铺平了道路。
该漏洞在通用漏洞与披露(CVE)数据库中的代号为CVE-2013-5838,通用漏洞计分系统(CVSS)满分为10分,Oracle公司为该漏洞打出了9.3分。该漏洞在无认证的情形下可被远程利用,对系统的保密性、完整性和可用性进行完全的攻击。
波兰的一家安全公司Security Explorations最先将该漏洞报告给Oracle公司,它的研究人员称,攻击者可以利用该漏洞逃过Java的安全沙箱。在正常的情况下,Java Runtime环境(JRE)是在虚拟机中执行Java代码,从而受到安全性的限制。
3月10日(周四),Security Explorations公司披露,Oracle公司为该漏洞发布的补丁有“破损”。对2013年披露的概念验证攻击代码改变4个字符就可地绕过该补丁,Security Explorations公司的CEO Adam Gowdiak在向安全邮件列表Full Disclosure发送的一条信息中写道。
Gowdiak的公司还发布了一项新技术报告,更详细地解释了如何实施“绕过”的过程。
该公司的研究人员称,他们新的攻击方法在最新的Java版本中测试成功,包括Java SE 7 Update 97、Java SE 8 Update 74和Java SE 9 Early Access Build 108。
Oracle公司在2013年10月最初的报告中强调,CVE-2013-5838漏洞仅影响Java的客户端,可通过“Java Web Start沙箱应用和Java沙箱小程序”被攻击利用。Security Explorations公司称,事实并非如此。
“我们核实,在服务器的环境中可成功利用该漏洞,也可在Google公司的Java应用引擎(App Engine)中利用,”Gowdiak在Full Disclosure的信息中说道。
在客户端侧,Java的默认安全级别——允许签名的Java小程序运行——和它的点击播放(click-to-play)行为可作为缓解因素。这些安全限制可阻止自动而悄悄的攻击。
为了利用该漏洞对最新安装的Java进行攻击,攻击者需要找到另一漏洞,使他们可以绕过安全弹出框或者说服用户同意运行他们的恶意小程序。后一种方法更有可能。
Security Explorations公司在公开CVE-2013-5838漏洞前未通知Oracle公司。Gowdiak称,公司的新政策是,若公司之前已经把相应漏洞报告给厂商,那么当发现补丁实际上为“破补丁”时,公司会立即向公众公开。
“我们实在受够了‘破’补丁。”他说道。
目前尚不清楚Oracle公司是否会单为修复该漏洞发布紧急的Java更新,还是等到下个季度原定于4月19日的重要补丁更新。
新闻时间:2016.3.17
新闻正文:Oracle公司为修复Java一项严重的漏洞在2013年发布的一项补丁失效,其可被轻易绕过,安全研究人员警告称。这使得该漏洞又可被利用,为攻击者针对安装最新版本Java的电脑和服务器实施攻击铺平了道路。
该漏洞在通用漏洞与披露(CVE)数据库中的代号为CVE-2013-5838,通用漏洞计分系统(CVSS)满分为10分,Oracle公司为该漏洞打出了9.3分。该漏洞在无认证的情形下可被远程利用,对系统的保密性、完整性和可用性进行完全的攻击。
波兰的一家安全公司Security Explorations最先将该漏洞报告给Oracle公司,它的研究人员称,攻击者可以利用该漏洞逃过Java的安全沙箱。在正常的情况下,Java Runtime环境(JRE)是在虚拟机中执行Java代码,从而受到安全性的限制。
3月10日(周四),Security Explorations公司披露,Oracle公司为该漏洞发布的补丁有“破损”。对2013年披露的概念验证攻击代码改变4个字符就可地绕过该补丁,Security Explorations公司的CEO Adam Gowdiak在向安全邮件列表Full Disclosure发送的一条信息中写道。
Gowdiak的公司还发布了一项新技术报告,更详细地解释了如何实施“绕过”的过程。
该公司的研究人员称,他们新的攻击方法在最新的Java版本中测试成功,包括Java SE 7 Update 97、Java SE 8 Update 74和Java SE 9 Early Access Build 108。
Oracle公司在2013年10月最初的报告中强调,CVE-2013-5838漏洞仅影响Java的客户端,可通过“Java Web Start沙箱应用和Java沙箱小程序”被攻击利用。Security Explorations公司称,事实并非如此。
“我们核实,在服务器的环境中可成功利用该漏洞,也可在Google公司的Java应用引擎(App Engine)中利用,”Gowdiak在Full Disclosure的信息中说道。
在客户端侧,Java的默认安全级别——允许签名的Java小程序运行——和它的点击播放(click-to-play)行为可作为缓解因素。这些安全限制可阻止自动而悄悄的攻击。
为了利用该漏洞对最新安装的Java进行攻击,攻击者需要找到另一漏洞,使他们可以绕过安全弹出框或者说服用户同意运行他们的恶意小程序。后一种方法更有可能。
Security Explorations公司在公开CVE-2013-5838漏洞前未通知Oracle公司。Gowdiak称,公司的新政策是,若公司之前已经把相应漏洞报告给厂商,那么当发现补丁实际上为“破补丁”时,公司会立即向公众公开。
“我们实在受够了‘破’补丁。”他说道。
目前尚不清楚Oracle公司是否会单为修复该漏洞发布紧急的Java更新,还是等到下个季度原定于4月19日的重要补丁更新。
赞赏
看原图
赞赏
雪币:
留言: