2013年7月21日 星期日

研究人員揭露 Java 7 新漏洞,10年前的手法就可攻陷

研究人員揭露 Java 7 新漏洞,10年前的手法就可攻陷

Gowdiak並批評,如果甲骨文的Java SE有採用任何的軟體安全保證程序,就應該在Java SE 7發表前便解決Reflection API的缺陷,也應能杜絕10年前的攻擊手法,從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提,就是執行層面有問題。 

波蘭資安業者Security Explorations周四(7/18)透過Full Disclosure揭露了Java SE 7中的安全漏洞,宣稱這雖然是個新發現的漏洞,但以10年前的技術就能攻陷。

Security Explorations執行長Adam Gowdiak表示,該漏洞允許駭客利用10年前便廣為人知的手法來攻擊Java虛擬機器,此類的威脅應該是在添增新功能至核心的虛擬機器時便應在第一時間防止的,更令人訝異的是在Java SE 7中的Reflection API並未採取應有的保護機制來防堵該攻擊。

Reflection API為一在包含Java等高階虛擬機器語言中非常普遍的技術,可用來檢查與修改物件在運行時的架構及行為。


Security Explorations已經打造出該漏洞的概念性攻擊程式,並證實可執行於Java SE 7 Update 25及之前的版本,將可入侵Java虛擬機器的基本功能。

Gowdiak並批評,如果甲骨文的Java SE有採用任何的軟體安全保證程序,就應該在Java SE 7發表前便解決Reflection API的缺陷,也應能杜絕10年前的攻擊手法,從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提,就是執行層面有問題。

從去年底開始,資安研究人員便不斷披露Java的安全漏洞,Facebook、蘋果及微軟都成為Java漏洞的受害者,還有不少業者建議使用者暫時關閉瀏覽器中的Java功能以避免受到影響,雖然甲骨文今年以來已多次釋出Java更新,然而Java的安全問題似乎仍未解決。

轉載自《iThome》