谷歌上周揭露Java“零日”漏洞 今被黑客利用

老枪
 老枪
发布于 2010年04月15日
收藏 2

Google安全工程师Tavis Ormandy上周揭露了Java零日漏洞, 仅仅5天后,一个歌词网站(被黑)正在把用户发送到俄罗斯的攻击服务器中,原因就是该攻击服务器利用Java零日漏洞进行了恶意软件的安装,一防病毒公司今天公布结果做上述表示。

该漏洞是因Java开发套件对参数验证不足所造成的。根据Ormandy的解释,Java原本是透过Java Web Start(JWS)让Java开发人员允许使用者藉由URL存取Java网络执行协定(。jnlp)以执行及安装应用程序,但自Java 6第十更新版后,提供了Java开发套件(Java Deployment Toolkit,JDT)来简化开发人员散布应用程序的程序。

JDT所扮演的角色是把所接收的URL字串传递给JWS注册处理程序,但Ormandy发现,JDT仅提供最基本的URL参数认证,导致他得 以传递任何参数到JWS中,还能藉由命令列引数(command-line arguments)行使JWS的完整功能以让该错误成为可被攻击的漏洞。

Ormandy指出,只要是Java SE 6 update 10以后且支援微软windows的版本都受到该漏洞影响,关闭Java外挂程序功能并无法避免受到攻击,因为JDT为独立安装套件。Ormandy相信 非Windows版本可幸免于难。

不过,Qualys技术长Wolfgang Kandek表示,该漏洞允许黑客在目标电脑上执行远端程序,而且使用者只要造访一个简单的网页就可能触动攻击。

Ormandy说,相关部门已被告知该漏洞的存在,但得到的反应却是该漏洞并未重要到在每季更新之外提供紧急更新。Ormandy建议使用者 在该漏洞被修补前关闭相关的控制工具。

Hackers exploit new Java zero-day bug

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:谷歌上周揭露Java“零日”漏洞 今被黑客利用
加载中
返回顶部
顶部