2013年4月23日 星期二

甲骨文漏洞獵人找到全新的Java 7伺服器漏洞


甲骨文漏洞獵人找到全新的Java 7伺服器漏洞

Java 漏洞
上週甲骨文(Oracle)釋出了修補多達42個全新安全漏洞的Java 7 Update 21安全更新程式。本週一,波蘭安全專家再度警告,其在全新出貨的伺服器Java Runtime Environment(JRE)中,發現Reflection API存在的安全漏洞。

「該全新弱點被確認會感染所有版本的Java SE 7(包括最近發表的1.7.0_21-b11在內),」資深Java漏洞獵人暨波蘭安全方案商Security Explorations創辦人與執行長Adam Gowdiak在「Full Disclosure mailing list」論壇上指出:「透過該漏洞,能在目標系統上完全避開Java安全沙盒的偵測。想要成功對Web瀏覽器發動漏洞攻擊,需要適當的使用者互動(在安全警示窗出現時,使用者必須承擔潛在惡意Java應用程式的執行風險)。」

根據Gowdiak在Security Explorations的漏洞部落格中表示,他已於週一向甲骨文提交漏洞報告,其中包括概念式驗證漏洞攻擊程式碼。

儘管在用戶端的攻擊上,必須在使用者不小心點選或允許的前提下,才可能讓惡意應用程式觸發漏洞攻擊。但原則上該安全漏洞能被用來避開Java沙盒,並可在用戶端或伺服器上執行任意程式碼。

Java Reflection API安全漏洞持續成為甲骨文的一大挑戰。該安全漏洞會欺騙挑戰與回應(Challenge-response)安全系統,以洩漏回應自身挑戰的答案。但該漏洞另有不同之處,「令人覺得有意思的是,該全新安全疑慮不但會出現在JRE外掛/JDK軟體中,同時也會出現在最新才剛發表的Server JRE上,」Gowdiak表示。

原文出處:InformationWeek
轉載自《網路資訊》

沒有留言:

張貼留言