互联网

当前位置/ 首页/ 新闻频道/互联网/ 正文

Oracle于8月30日发布的最新Java更新中发现了一个问题

安全研究人员说,他们在Oracle最近针对一系列攻击而发布的Java 7更新中发现了一个漏洞。根据波兰公司Security Explorations的说法,此更新包含一个漏洞,攻击者可以利用该漏洞绕过JVM沙箱,并利用该公司先前于4月向Oracle披露的漏洞。Security Explorations首席执行官Adam Gowdiak拒绝透露该漏洞的详细信息,但表示该公司已通知Oracle。他说,甲骨文已经告知该公司正在调查。

他在一封电子邮件中告诉eWEEK:“我们发现并向Oracle报告了一个安全问题,该问题影响了最近发布的修补Java版本(7 Update 7,该版本于2012年8月30日发布)。” “我无法分享有关该新错误的性质的更多详细信息。[但是]与2012年4月的某些问题结合使用时,此新问题可以促进对最新Java SE 7 Update 7的成功执行代码攻击。”

Java更新(于8月30日发布)是由针对CVE-2012-4681的攻击的广泛报道引起的。CVE-2012-4681的漏洞利用程序已合并到许多漏洞利用工具包中,包括Sweet Orange和Black Hole。据赛门铁克称,即使是去年针对化学工业而发现的Nitro攻击活动背后的黑客,也已将该漏洞纳入其最新攻击的组合中。

Sophos高级安全顾问Graham Cluley在博客中写道,由于Java的普遍性以及它在许多组织中通常已经过时的事实,恶意软件作者利用Java中的漏洞已变得越来越普遍。根据漏洞管理公司Rapid7的统计,Java用户的补丁程序率很低,只有35%的用户在更新可用后90天内应用补丁程序。

Cluley在博客中写道:“网络罪犯也喜欢Java,因为Java具有跨平台的能力,可以在计算机上运行,​​而不管它们是运行Windows,Mac OS X还是Linux。” “因此,在提供特定于操作系统的有效负载之前,恶意黑客将Java用作攻击的一部分对我们来说并不罕见。”

Rapid7的Metasploit工程师经理Tod Beardsley说,大多数人可以禁用Java并且不会注意到用户体验的差异,因为很少有网站依赖Java来获取动态内容。

他说:“重要的是要记住,这肯定不是我们在Java上看到的最后0天。” “仍然建议禁用Java浏览器插件,除非您知道需要使用它的网站。GoogleChrome,Mozilla Firefox和Microsoft Internet Explorer都允许这种“白名单”配置。保持您的位置仍然是一个好主意漏洞配置文件下一次降低。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。