移动安全 安全管理 应用案例 网络威胁 系统安全 应用安全数据安全 云安全
当前位置: 主页 > 信息安全 > 数据安全 >

Java数据安然麻烦不竭 补丁发布仍未解迫在眉睫

时间:2013-05-30 23:01来源:TuZhiJiaMi企业信息安全专家 点击:
Java比来为了巩固数据安然,发布了最新的补丁,可是就在这以后不久,新的数据安然标题问题再次被发现。看来这个“烧眉之急”是没有解到。 在Java 最新修订发布几天后,安然研究员 Adam
Tags漏洞(188)Java(7)数据安全(840)补丁(12)  

  Java比来为了巩固数据安然,发布了最新的补丁,可是就在这以后不久,新的数据安然标题问题再次被发现。看来这个“烧眉之急”是没有解到。

  在Java 最新修订发布几天后,安然研究员 Adam Gowdiak 就发现了另外一个 Java 的缝隙。在附带的透露文章中,Gowdiak 暗示 Reflection API 缺点会影响 Java SE 7 的全数版本,并且“可以用来在方针系统上达到完全绕过 Java 安然沙箱的目标”。该缝隙同时在插件/JDK 软件中存在,而办事器 JRE 也未能幸免。经由过程 Web 浏览器透露的缝隙确切要求用户“在看到安然性警告窗口的时辰,接管履行暗藏地歹意 Java 利用的风险,”Gowdiak 写道。

  Gowdiak 传播鼓吹他的公司 Security Explorations 已将缝隙陈述及概念验证代码发送给 Oracle。

  Security Explorations 最早在 2012 年 4 月与 Oracle 联系,出格向其传递了 Java SE 7 和 Reflections API 中的安然标题问题。但是 Gowdiak 觉得“看起来,Oracle 重点专注于措置‘许可的’类空间中暗藏的 Reflection API 危险调用”——也就是不受信赖的 applet 或 Web 启动利用法度如许的法度可以或许拜候的类。

  因为这一最新缝隙同时也影响办事器 JRE,这让工作变得有一些不服常。上周,Oracle 发布了一个补丁,修复了其他 42 处缺点,此中 19 处在公司用来评估的 CVSS 评测中获得了 10 分(最严重)。不外此中大年夜部门缝隙是针对客户端 Java 的,并且只可以或许经由过程不受信赖的 applet 或是 Web 启动利用法度来操纵这些缝隙。

  针对这些缝隙的补丁来得很及时。从一篇 Timo Hirvonen 颁发的短博文来看,或许是因为缝隙已被添加到 CrimeBoss、Cool 和 CritX 报复打击东西,和渗入测试产品 Metasploit 上面,利用长途代码履行缝隙之一(CVE-2013-2423)的报复打击已呈现。RedKit 也曽被报导过,但 Hirvonen 向 InfoQ 确认这是由F-Secure 的自开东西弊端陈述而至。

  在该新闻以后,Java 在安然方面渡过了艰巨的几个月。在数月的负面报导以后,Oracle 比来委任 Java 安然主管 Milton Smith,Smith 在 1 月份的一个德律风会议中声明Oracle 将专注于修复标题问题并加强与社区成员的交换。

  继黑客操纵 Java 中的 0day 缺点对多家公司进行报复打击后(这些公司包含 Apple、Facebook 和 Microsoft,或许还有 Twitter),Java 再次成了头条新闻。

  Oracle 需要集中更多的资本,以应对接下来与 Java 的安然标题问题进行的斗争。这也被视作 JDK 8 的发布推迟到 2014 年的一个启事。

------分隔线----------------------------

推荐内容