另一个严重的Java漏洞使10亿用户面临风险

Just as 甲骨文正在崛起 在9月30日开始 JavaOne 2012年 在旧金山,来自波兰公司的研究人员 安全探索披露 完后还有 严重的Java漏洞,可能“破坏Larry Ellison的早晨……Java的味道。”

新的严重Java 5、6、7安全漏洞使10亿用户面临风险

如果您在最后一次禁用Java时 零日漏洞 被发现在野外,那么您可以考虑再次这样做。 。 。还是完全丢弃Java?根据安全探索研究员亚当·高迪亚克(Adam Gowdiak)的电子邮件发送给“全面披露专家”,该Java漏洞影响“Oracle Java SE软件的十亿用户。”

得知Oracle / Java还有另一个重大漏洞,我感到震惊,我在一次电子邮件采访中与Adam Gowdiak取得了联系。

采访Security Explorations的首席执行官 亚当·高迪亚克:

我想澄清的是 完后还有 新的关键Java零时差(再次)使十亿用户处于危险之中?

Gowdiak: 那就对了。这是一个全新的问题(今天宣布)。但是,它的影响力比我们在Java安全研究项目中发现的任何以前的问题都大,因为它影响到Java 5、6和7。我们以前的大多数发现主要影响到Java版本7。

与Oracle于8月30日修补的最后一个关键安全漏洞不同,此关键Java错误会影响 自上一个补丁以来,所有最新的Java版本?

Gowdiak: 那就对了。

如果您具有Java插件并使用以下任何一种 这些浏览器, 然后使用Chrome,Firefox,Internet Explorer,Opera和Safari 你脆弱吗?

Gowdiak: 是。我们使用最新的Java SE软件测试了最新的Web浏览器。

这是Security Explorations周年50周年Java Bug发现? (第50期 状态:此概念证明是“完整的Java安全沙箱绕过”。)

Gowdiak: 是。我们在各种Java SE实现中总共发现了50个问题:

  • 向Oracle报告了31个问题(17个不同的完整沙盒绕过漏洞利用) 
  • 向Apple报告2个问题(1个完整的沙箱绕过漏洞利用)
  • 向IBM报告了17个问题(10个完整的沙盒绕过漏洞利用)。

您可以在此处查看报告时间轴: http://www.security-explorations.com/en/SE-2012-01-status.html

那么,Oracle对您的答复是什么?

Gowdiak: 我们尚未收到他们的来信。

软足症 陈述,“研究人员证实,在完全修补的Windows 7 32位操作系统上运行的Java SE 5 – Update 22,Java SE 6 – Update 35和Java SE 7 Update 7容易受到攻击。”这是否意味着完全打补丁的Window 7 64位系统不容易受到攻击?仅Windows 7吗?

Gowdiak: 不会。它将是Windows 7 32位和64位。我们只是在Windows 7 32位上进行了测试。但是,这没有关系,因为只要安装并启用了Java 5、6或7,Oracle Java SE支持的所有操作系统(例如Windows,Linux,Solaris,MacOS)都容易受到攻击。

您透露了 该错误使攻击者可以违反Java虚拟机的基本安全约束(类型安全)。攻击者可以利用最新的Java漏洞做什么?

Gowdiak: 利用此新问题的恶意Java小程序或应用程序可以在目标Java进程(例如Web浏览器应用程序)的上下文中不受限制地运行。然后,攻击者可以使用登录用户的特权来安装程序,查看,更改或删除数据。

您有什么安全建议 十亿Java用户面临风险?

Gowdiak: 考虑到发现的错误可能带来的风险,最好在Web浏览器中禁用Java插件并等待来自Oracle的补丁。距离预定的Java Oct CPU还有3周的时间 [重要补丁更新],因此该错误可能会在2012年10月16日由公司解决.

新的严重Java漏洞使十亿用户面临风险

回顾一下,此Java错误甚至比上一个严重的Java漏洞还要严重。它使甲骨文的Java SE,Java 5、6和7的十亿用户面临风险。可以使用以下浏览器来利用它:Chrome,Firefox,Internet Explorer,Opera和Safari。如果您访问恶意制作的网站,则攻击者可能会完全控制您的PC。哇,非常感谢Oracle。

有关:

版权© 2012 IDG通讯,Inc.

  
在亚马逊上购买技术产品