Java数据安全麻烦不断 补丁发布未解燃眉之急

开发 后端 开发工具
Java最近为了巩固数据安全,发布了最新的补丁,但是就在这之后不久,新的数据安全问题再次被发现。看来这个“烧眉之急”是没有解到。

在Java 最新修订发布几天后,安全研究员 Adam Gowdiak 就发现了另一个 Java 的漏洞。在附带的披露文章中,Gowdiak 表示 Reflection API 缺陷会影响 Java SE 7 的全部版本,而且“可以用来在目标系统上达到完全绕过 Java 安全沙箱的目的”。该漏洞同时在插件/JDK 软件中存在,而服务器 JRE 也未能幸免。通过 Web 浏览器暴露的漏洞确实要求用户“在看到安全性警告窗口的时候,接受执行潜在地恶意 Java 应用的风险,”Gowdiak 写道。

  Gowdiak 宣称他的公司 Se​curity Explorations 已经将漏洞报告及概念验证代码发送给 Oracle。

  Security Explorations 最早在 2012 年 4 月与 Oracle 联系,特别向其通报了 Java SE 7 以及 Reflections API 中的安全问题。然而 Gowdiak 认为“看起来,Oracle 重点专注于处理‘许可的’类空间中潜在的 Reflection API 危险调用”——也就是不受信任的 applet 或 Web 启动应用程序这样的程序能够访问的类。

  由于这一最新漏洞同时也影响服务器 JRE,这让事情变得有一些不寻常。上周,Oracle 发布了一个补丁,修复了其他 42 处缺陷,其中 19 处在公司用来评估的 CVSS 评测中得到了 10 分(最严重)。不过其中大部分漏洞是针对客户端 Java 的,而且只能够通过不受信任的 applet 或是 Web 启动应用程序来利用这些漏洞。

  针对这些漏洞的补丁来得很及时。从一篇 Timo Hirvonen 发表的短博文来看,或许是因为漏洞已经被添加到 CrimeBoss、Cool 和 CritX 攻击工具,以及渗透测试产品 Metasploit 上面,使用远程代码执行漏洞之一(CVE-2013-2423)的攻击已经出现。RedKit 也曽被报导过,但 Hirvonen 向 InfoQ 确认这是由F-Secure 的自动工具错误报告所致。

  在该新闻之后,Java 在安全方面度过了艰难的几个月。在数月的负面报道之后,Oracle 最近委任 Java 安全主管 Milton Smith,Smith 在 1 月份的一个电话会议中声明Oracle 将专注于修复问题并增强与社区成员的交流。

  继黑客利用 Java 中的 0day 缺陷对多家公司进行攻击后(这些公司包括 Apple、Facebook 和 Microsoft,或许还有 Twitter),Java 再次成为了头条新闻。

  Oracle 需要集中更多的资源,以应对接下来与 Java 的安全问题进行的斗争。这也被视作 JDK 8 的发布推迟到 2014 年的一个原因。

原文链接:http://sec.chinabyte.com/122/12626622.shtml

责任编辑:陈四芳 来源: 比特论坛
相关推荐

2016-08-03 09:57:40

2017-10-18 10:22:42

打印机设备故障

2012-07-24 22:50:43

2011-05-12 09:07:13

打印机技巧

2022-12-23 09:51:18

锐捷

2020-09-04 14:18:23

SpringBoot考试系统学科

2021-11-29 11:14:23

深信服

2012-02-29 00:38:29

Linux命令

2021-04-30 06:12:28

Windows10操作系统微软

2013-02-23 08:31:05

2013-05-24 10:33:01

服务器宕机系统管理员

2010-09-28 12:39:14

无线网络技术

2010-09-15 09:01:53

无线路由掉线问题

2011-05-04 11:24:44

打印机

2018-04-04 10:22:25

传统存储闪存阵列问题

2011-05-03 11:27:08

老式针式打印机无法打印

2011-08-17 11:24:41

数据业务网络干扰

2017-03-14 13:12:19

2012-11-12 16:09:56

Windows

2014-01-15 11:05:48

点赞
收藏

51CTO技术栈公众号