【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

Java 惊现 0day 漏洞,Oracle 紧急升级

  • 2012-09-02
  • 本文字数:612 字

    阅读完需:约 2 分钟

8 月中旬 Oracle 刚刚发布了 Java 7u6 和 6u34 版本,但短短半个月时间之后的 8 月 30 日,Oralce 紧急发布了新版本的 JDK 和 JRE,原因是发现了一个严重的 0day 漏洞 CVE-2012-4681 ,远程攻击者可以通过它绕开 SecurityManager 的限制执行代码,但服务器端和桌面端的 Java 程序不受该漏洞影响。

FireEye 于 8 月 26 日在网上发布了该漏洞的信息,随后 NIST 也发出了警告并进行了一些说明——在 Java 7u6 和 6u34 及之前的版本上,攻击者可以通过如下手段绕开 SecurityManager 的限制:

使用 com.sun.beans.finder.ClassFinder.findClass 并利用 forName 方法从任意包访问受限类(例如 sun.awt.SunToolkit),随后利用 getField 方法就能访问并修改私有成员属性了

攻击者就是通过 getField 方法取得运行 java.beans.Statement 所需的权限,覆盖该权限,允许运行所有代码,在 Statement 关闭 SecurityManager 后,Applet 就能“为所欲为”了。

赛门铁克的说明中表示,他们发现攻击者至少从8 月22 日起就已经通过该漏洞发动攻击了,并定位了两个提供恶意软件的站点,下载到的恶意软件经鉴定为 Trojan.Dropper

国内的 Freebuf 在分析恶意代码时发现了其中有这样一段代码,即“我有一只小毛驴,从来也不骑”。

String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi";如果您对该漏洞的细节感兴趣,可以阅读 DeepEnd Research 的这篇分析。建议在浏览器中使用 Java 的同学立刻将自己的 Java 升级到 7u7 或 6u35 版本

2012-09-02 09:303961
用户头像

发布了 135 篇内容, 共 58.5 次阅读, 收获喜欢 43 次。

关注

评论

发布
暂无评论
发现更多内容

c语言学习笔记

白白

C语言

首获阿里offer主动分享面经:Java面试清单+程序员复习笔记(2021春招必看)

比伯

Java 编程 程序员 架构 面试

【笔记】第四章-第三讲 业务流程与产品文档

Geek_娴子

第四章作业

正午看星星

分享一个务实派CEO的理念和实践

boshi

经验分享 七日更 28天写作

产品经理训练营 - 第五周作业

玖玖

翻译:《实用的Python编程》03_03_Error_checking

codists

Python

产品经理训练营第五、六周作业

happy-黑皮

产品经理训练营

靠速度说话!你还不够了解的“新基建闪电侠”

白洞计划

闲鱼UI快速变形利器--擎天柱

闲鱼技术

产品经理 - 第四章作业

Geek_971380

产品经理训练营第四章作业(二)

猫。

关于微服务的一点理解

风翱

微服务 开发

花了一个月,整理了这份2021金三银四Java面试/学习指南,1500+题全面解析

Java 架构 面试

产品经理训练营——Week 04

柚子君~

产品经理训练营

第四章 _ 第二次作业 _ 流程图

Weiyung

第5次作业

Geek_娴子

有效括号入门题:使用栈能够解决超过一半的「有效括号」问题 ...

宫水三叶的刷题日记

面试 LeetCode 数据结构与算法

摄影方法分享

飞飞飞

摄影

第四章_第一次作业_用例

Weiyung

第五周作业

郭郭

为何你进不了大厂?

冰河

程序员 面试 程序人生 经验分享 冰河技术

产品经理训练营 -- 第五周作业

Denny-xi

产品经理 产品经理训练

产品经理训练营——Week 05

柚子君~

产品经理训练营

第五周作业

正午看星星

(28DW-S8-Day11) 小数据与在线教育

mtfelix

28天写作 小数据 因材施教 用户分析

小谈 Java 单元测试

xcbeyond

Java 单元测试 28天写作

没有数据的AI是空中楼阁

罗森内里大伊布

大数据 保险 保险科技 水滴公司

《企业级业务架构设计方法论与实践》解读

javaba韩老师

业务架构 TOGAF

从“天地一体”到“移动组网”,中国量子通信产业是如何“炼成”的?

脑极体

javascript中的闭包closure详解

程序那些事

JavaScript nodejs 闭包 程序那些事 closure

Java惊现0day漏洞,Oracle紧急升级_Java_丁雪丰_InfoQ精选文章