微剋多資訊

 找回密碼
 註冊

Login

Login

搜索

該用戶從未簽到

發表於 2013-4-25 11:05 | 顯示全部樓層 |閱讀模式
甲娃的漏洞怎麼那麼多啊?

甲骨文漏洞獵人找到全新的Java 7伺服器漏洞
曹乙帆 / 編譯 – 2013/04/23分類: 安全防護, 新聞


該全新安全疑慮不但會出現在JRE外掛/JDK軟體中,同時也會出現在最新才剛發表的Server JRE上。

上週甲骨文(Oracle)釋出了修補多達42個全新安全漏洞的Java 7 Update 21安全更新程式。本週一,波蘭安全專家再度警告,其在全新出貨的伺服器Java Runtime Environment(JRE)中,發現Reflection API存在的安全漏洞。

「該全新弱點被確認會感染所有版本的Java SE 7(包括最近發表的1.7.0_21-b11在內),」資深Java漏洞獵人暨波蘭安全方案商Security Explorations創辦人與執行長Adam Gowdiak在「Full Disclosure mailing list」論壇上指出:「透過該漏洞,能在目標系統上完全避開Java安全沙盒的偵測。想要成功對Web瀏覽器發動漏洞攻擊,需要適當的使用者互動(在安全警示窗出現時,使用者必須承擔潛在惡意Java應用程式的執行風險)。」

根據Gowdiak在Security Explorations的漏洞部落格中表示,他已於週一向甲骨文提交漏洞報告,其中包括概念式驗證漏洞攻擊程式碼。

儘管在用戶端的攻擊上,必須在使用者不小心點選或允許的前提下,才可能讓惡意應用程式觸發漏洞攻擊。但原則上該安全漏洞能被用來避開Java沙盒,並可在用戶端或伺服器上執行任意程式碼。

Java Reflection API安全漏洞持續成為甲骨文的一大挑戰。該安全漏洞會欺騙挑戰與回應(Challenge-response)安全系統,以洩漏回應自身挑戰的答案。但該漏洞另有不同之處,「令人覺得有意思的是,該全新安全疑慮不但會出現在JRE外掛/JDK軟體中,同時也會出現在最新才剛發表的Server JRE上,」Gowdiak表示。

資料來源:InformationWeek
您需要登入後才可以回帖 登入 | 註冊

本版積分規則

小黑屋|Archiver|微剋多資訊(MicroDuo)

GMT+8, 2016-12-10 13:01

Discuz! X

© 2009-2016 Microduo

快速回覆 返回頂部 返回列表