作家
登录

Java 7 Update 11更新后仍有重大Java漏洞

作者: 来源: 2013-02-02 09:11:13 阅读 我要评论

波兰安全研究公司Security Explorations上周五宣布,已向Oracle提交了两个新的Java漏洞以及概念证明代码,这表明在上周的修补后Java中仍然存在重大安全问题。在 “大曝光”(Full-Disclosure)安全邮件列表的帖子中,Security Explorations公司首席执行官Adam Gowdiak表示:“我们已经明确证实,最新版本的Java 7 Update 11发布后,仍然可以完全地绕过Java安全沙箱。”

在这一周内,Java的声誉严重受损,这是本周对Java的最后一个负面影响。在这周即将结束时,Java还受到其他大事件的冲击--卡巴斯基的安全研究人员宣布发现红色十月攻击(Red October)。以色列公司Seculert已经证实至少有一个先前确定的Java漏洞被用在在红色十月攻击代码库中。

根据Seculert博客文章透露:在对“红色十月”活动中使用的命令和控制服务器进行调查后,Seculert发现了一个特殊的文件夹,攻击者用它作为附加的攻击对象数组。这个攻击对象数组使攻击者发送有嵌入链接的电子邮件到特制的PHP网页,该网页利用了Java(CVE-2011-3544)中的漏洞。

该博客文章解释说,该漏洞在2011年就已经公诸于众,当在2012年2月被编译到Java JAR文件时,就已经不是什么新闻了,至少在理论上是这样。美国国土安全部一直建议用户禁用其电脑上的Java,即使Oracle发布了修复补丁。这个1月14日发布的更新称“很有可能会出现新的Java漏洞,为了抵御当前和未来的Java漏洞,您可以考虑禁用Web浏览器中的Java,直到出现全面的更新。”就在第二天,Security Explorations就“礼貌地”宣布发现 “未来Java漏洞”的其中两个。

对于那些禁用了Java的用户,有些人不愿意在太短时间内重新启用Java。Rapid7首席安全官兼Metasploit首席架构师HD Moore表示,“Oracle花了一年时间才解决了Security Explorations发现的部分特权升级问题,按这个速度,可能还需要两年时间才能完全将这类漏洞从代码库根除。”

Moore指出,Java的部分问题在于其沙箱版本有点老掉牙:“在设计该Java沙箱时,当时桌面用户面临的威胁完全不同。目前这一代沙箱(Chrome、Adobe、IE)部署更高级,它们限制了沙箱进程的活动,而不是试图在自身运行时间内加强所有逻辑。Java的沙箱仍然是以前的,只需要一个逻辑漏洞或者某种形式的内存损坏就可以在用户的环境内让网页运行代码。”他举出一个例子,虽然windows 8在浏览器安全方面得到了很大改进,仍然可能成为当前Java漏洞的“猎物”,并产生一个远程shell。

尽管有重大安全问题,专家表示,要求IT永远远离Java都是不可行的。Promisec联合创始人兼产品开发执行副总裁Hilik Kotler表示,建议简单地禁用关键软件工具是不可行的。“本周是Java出现安全问题,而两周之前是IE,两个月之前还是Adobe,”Kotler认为管理漏洞并不意味着改变员工习惯的工作环境。他建议禁用该软件“是当你没有合适工具时,最简单的解决方案”。

【编辑推荐】

  1. 甲骨文针对Java 7发布零日漏洞更新
  2. 甲骨文漏洞曝光 揭秘Java安全的真相
  3. 研究人员发现Java 7 Update 11存在致命安全漏洞
  4. 该彻底重写Java了 其漏洞使超1亿计算机面临黑客攻击
  5. 打不完的漏洞补丁 Java再曝新安全漏洞

  推荐阅读

  研究发现API存重大漏洞 威胁云计算安全

云服务允许第三方通过所谓的web应用程序变成接口(或者说API)来访问应用程序和数据,然而,很多应用程序开发人员没有适当地保护这种访问,让应用程序和数据处于危险之中。去年10月,来自美国德州大学奥斯汀分校和斯坦>>>详细阅读


本文标题:Java 7 Update 11更新后仍有重大Java漏洞

地址:http://www.17bianji.com/anquan/buding/21510.html

关键词: 探索发现

乐购科技部分新闻及文章转载自互联网,供读者交流和学习,若有涉及作者版权等问题请及时与我们联系,以便更正、删除或按规定办理。感谢所有提供资讯的网站,欢迎各类媒体与乐购科技进行文章共享合作。

网友点评
自媒体专栏

评论

热度

精彩导读
栏目ID=71的表不存在(操作类型=0)