安全研究人员警告称,甲骨文在年发布的一个关键Java漏洞更新是无效的,黑客可以轻松绕过。这使得此漏洞可以被再度利用,攻击运行最新版本Java的个人计算机及服务器。
该漏洞在通用漏洞及披露数据库中的代码为CVE--,甲骨文在通用漏洞评分系统上给其打出过9.3/10的高分。该漏洞可被远程利用,不需要授权验证即可完全入侵系统,损害其机密性、完整性、可用性。
波兰公司SecurityExplorations的研究人员最早向甲骨文上报了该漏洞。他们表示,攻击者可以利用它从Java安全沙盒中逃逸。通常情况下,Java运行时间环境(JRE)在虚拟机中运行Java代码。
SecurityExplorations公司首席执行官亚当·高迪亚克(AdamGowdiak)在发给FullDisclousure安全邮件列表的信中称,仅仅更改年概念验证攻击代码中的四个字符,就可以绕过该补丁。高迪亚克的公司已经就这种攻击方式发表了一篇新的技术报告,并表示他们已经在最新版本的JavaSE7Update97、JavaSE8Update74、JavaSE9EarlyAccessBuild上测试了这种新的利用方法。
甲骨文在年10月最初公布的公告中称CVE--仅影响Java的客户端,可以通过“JavaWebStart应用沙盒和Java小程序沙盒”进行利用。但SecurityExplorations公司表示,这种说法是错误的。
高迪亚克在发给FullDisclosure的信中提到,“经过验证,我们发现该漏洞还可被用于入侵服务器环境和Java下的GoogleAppEngine。”
在客户端,Java的默认安全级别,仅允许有签名的Java小程序运行,而且它的点击后播放还可以作为防御手段。这些安全限制可以防止自动化的静默攻击。
如果攻击者想在最新的Java实例上利用这一漏洞,他们需要找到另外一个可帮助绕过安全提示的漏洞,或者说服用户在运行恶意Java小程序时点击允许。他们更有可能采取后一种策略。
在公开披露之前,SecurityExplorations公司还未就CVE--的这一最新问题通知甲骨文。高迪亚克表示,他公司的新政策是,对于已经上报给厂商的漏洞补丁,如果有问题会立即公告大众。
“我们以后不会容忍有问题的补丁。”
目前尚不清楚甲骨文是否会对这一漏洞发布紧急Java更新,还是会与预计于4月19日发布的第二季度关键漏洞更新一同发布。
---
要闻/干货/原创/专业有什么办法根治白癜风白颠风是怎么引起的