Java 7 Update 11更新后仍有重大Java漏洞.pdfVIP

Java7Update11 更新后仍有重大Java 漏洞 波兰安全研究公司SecurityExplorations 上周五 宣布，已向Oracle 提交了两个新的Java 漏洞以及概念证 明代码，这表明在上周的修补后Java 中仍然存在重大安全 问题。在“大曝光”安全邮件列表的帖子中， SecurityExplorations 公司首席执行官AdamGowdiak 表 示： “我们已经明确证实，最新版本的Java7Update11 发 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 1 布后，仍然可以完全地绕过Java 安全沙箱。” 在这一周内，Java 的声誉严重受损，这是本周对Java 的最后一个负面影响。在这周即将结束时，Java 还受到其 他大事件的冲击--卡巴斯基的安全研究人员宣布发现红色 十月攻击。以色列公司Seculert 已经证实至少有一个先前 确定的Java 漏洞被用在红色十月攻击代码库中。 根据Seculert 博客文章透露：在对 “红色十月”活动 中使用的命令和控制服务器进行调查后，Seculert 发现了 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 2 一个特殊的文件夹，攻击者用它作为附加的攻击对象数组。 这个攻击对象数组使攻击者发送有嵌入链接的电子邮件到 特制的PHP 网页，该网页利用了Java 中的漏洞。 该博客文章解释说，该漏洞在2011 年就已经公诸于 众，当在2012 年2 月被编译到JavaJAR 文件时，就已经不 是什么新闻了，至少在理论上是这样。美国国土安全部一 直建议用户禁用其电脑上的Java，即使Oracle 发布了修 复补丁。这个1 月14 日发布的更新称“很有可能会出现新 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 3 的Java 漏洞，为了抵御当前和未来的Java 漏洞，您可以 考虑禁用Web 浏览器中的Java，直到出现全面的更新。” 就在第二天，SecurityExplorations 就 “礼貌地”宣布发 现 “未来Java 漏洞”的其中两个。 对于那些禁用了Java 的用户，有些人不愿意在太短时 间内重新启用Java。Rapid7 首席安全官兼Metasploit 首 席架构师HDMoore 表示，“Oracle花了一年时间才解决了 SecurityExplorations 发现的部分特权升级问题，按这个 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 4 速度，可能还需要两年时间才能完全将这类漏洞从代码库 根除。” Moore 指出，Java 的部分问题在于其沙箱版本有点老 掉牙：“在设计该Java 沙箱时，当时桌面用户面临的威胁 完全不同。目前这一代沙箱部署更高级，它们限制了沙箱 进程的活动，而不是试图在自身运行时间内加强所有逻辑。 Java 的沙箱仍然是以前的，只需要一个逻辑漏洞或者某种 形式的内存损坏就可以在用户的环境内让网页运行代 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 5 码。”他举出一个例子，虽然windows8 在浏览器安全方面 得到了很大改进，仍然可能成为当前Java 漏洞的 “猎 物”，并产生一个远程shell。 尽管有重大安全问题，专家表示，要求IT 永远远离 Java 都是不可行的。Promisec 联合创始人兼产品开发执行 副总裁HilikKotler 表示，建议简单地禁用关键软件工具 是不可行的。“本周是Java 出现安全问题，而两周之前是 IE，两个月之前还是Adobe，”Kotler认为管理漏洞并不 ＤＤ丨 ＷＷＷ．ＣＤＡＦＪＫ．ＣＯＭ丨成都安防监控 丨 6 意味着改变员工习惯的工作环境。他建议禁用该软件 “是 当你没有合适工具时，最简单的解决方案”。