【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

最新修订之后,Java 脆弱依旧

  • 2013-05-24
  • 本文字数:1052 字

    阅读完需:约 3 分钟

在 Java 最新修订发布几天后,安全研究员 Adam Gowdiak 就发现了另一个 Java 的漏洞。在附带的披露文章中,Gowdiak 表示Reflection API 缺陷会影响Java SE 7 的全部版本,而且“可以用来在目标系统上达到完全绕过Java 安全沙箱的目的”。该漏洞同时在插件/JDK 软件中存在,而服务器JRE 也未能幸免。通过Web 浏览器暴露的漏洞确实要求用户“在看到安全性警告窗口的时候,接受执行潜在地恶意Java 应用的风险,”Gowdiak 写道。

Gowdiak 宣称他的公司 Security Explorations 已经将漏洞报告及概念验证代码发送给 Oracle。

Security Explorations 最早在 2012 年 4 月与 Oracle 联系,特别向其通报了 Java SE 7 以及 Reflections API 中的安全问题。然而 Gowdiak 认为“看起来,Oracle 重点专注于处理‘许可的’类空间中潜在的 Reflection API 危险调用”——也就是不受信任的 applet 或 Web 启动应用程序这样的程序能够访问的类。

由于这一最新漏洞同时也影响服务器 JRE,这让事情变得有一些不寻常。上周,Oracle发布了一个补丁,修复了其他42 处缺陷,其中19 处在公司用来评估的CVSS 评测中得到了10 分(最严重)。不过其中大部分漏洞是针对客户端Java 的,而且只能够通过不受信任的applet 或是Web 启动应用程序来利用这些漏洞。

针对这些漏洞的补丁来得很及时。从一篇Timo Hirvonen 发表的短博文来看,或许是因为漏洞已经被添加到 CrimeBoss Cool CritX 攻击工具,以及渗透测试产品 Metasploit 上面,使用远程代码执行漏洞之一(CVE-2013-2423)的攻击已经出现。RedKit曽被报导过,但Hirvonen 向InfoQ 确认这是由F-Secure 的自动工具错误报告所致。

在该新闻之后,Java 在安全方面度过了艰难的几个月。在数月的负面报道之后,Oracle 最近委任Java 安全主管Milton Smith,Smith 在1 月份的一个电话会议中声明 Oracle 将专注于修复问题并增强与社区成员的交流。

继黑客利用 Java 中的 0day 缺陷对多家公司进行攻击后(这些公司包括 Apple Facebook Microsoft ,或许还有 Twitter ),Java 再次成为了头条新闻。

Oracle 需要集中更多的资源,以应对接下来与 Java 的安全问题进行的斗争。这也被视作 JDK 8 的发布推迟到 2014 年的一个原因

InfoQ 就此事询问 Oracle 的意见,但遭到了拒绝。

查看英文原文 Java Still Vulnerable, Despite Latest Patches


感谢杨赛对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ )或者腾讯微博( @InfoQ )关注我们,并与我们的编辑和其他读者朋友交流。

2013-05-24 11:192370
用户头像

发布了 256 篇内容, 共 67.9 次阅读, 收获喜欢 10 次。

关注

评论

发布
暂无评论
发现更多内容

客户说|从4小时到15分钟,一次分布式数据库的丝滑体验

阿里云瑶池数据库

数据库 云计算 阿里云 云原生 polarDB

毫末贺翔:DriveGPT让通用感知实现“万物识别”、通用认知具备“世界知识”

Geek_2d6073

Digital Realty 在日本 NRT 园区设立第二座数据中心

财见

客户说|从4小时到15分钟,一次分布式数据库的丝滑体验

阿里云数据库开源

阿里云 运维 polarDB PolarDB-X 识货

龙智携全方位芯片解决方案亮相IIC Shanghai 2024,助力客户解决复杂的芯片研发挑战

龙智—DevSecOps解决方案

芯片开发 芯片研发

AI+办公!5款超实用AI软件,一键生成PPT、视频、思维导图等!

彭宏豪95

人工智能 在线白板 AIGC 效率软件 AI生成PPT

汽车软件市场迅猛扩张,Perforce Helix Core与Helix IPLM助力汽车软件开发的版本控制及IP生命周期管理

龙智—DevSecOps解决方案

汽车 汽车软件

pandas plot函数:数据可视化的快捷通道

快乐非自愿限量之名

pandas 数据可视化

IBM 宣布在 watsonx 上提供开源的 Mistral AI 模型

财见

亮点功能:流水线编辑支持并行了!

都广科技

DevOps

全球视角, 本土行动 —— 本地化商品管理之道

第七在线

Pandora飙升背后的ERC404 目前适合布局吗

区块链软件开发推广运营

dapp开发 区块链开发 链游开发 NFT开发 公链开发

如何通过相对规模来估算用户故事?

敏捷开发

Scrum 敏捷 极限编程 用户故事 敏捷团队

鸿蒙的跨端技术实践方案

Geek_2305a8

『Java 语法基础』面向对象有哪些特性

EquatorCoco

Java JVM 语法 开发语言

pd18虚拟机如何安装?哪里有Parallels 工具箱?

Rose

PD18虚拟机破解 Parallels 工具箱 Mac虚拟机安装 Parallels Desktop破解

云游戏平台塑造游戏发行商商业新格局

Ogcloud

游戏 云游戏 游戏发行 云游戏发行 云游戏平台

面试官:说说线程池的工作原理?

王磊

Java 面试

10 个解放双手的 IDEA插件,少些冤枉代码(第三弹)

程序员小富

IDEA 插件

Maple 2024 mac下载(含maple注册文件及破解工具)兼容m芯片

Rose

软件下载 Maple 2024 Maple数学软件 Maple 2024 mac破解

Touch bar pet for Mac(在macbook上养一只宠物)

Rose

Mac软件 电子宠物 touchbar 宠物桌面

macos big sur 软件icons图标大全(新增至2719枚大苏尔风格图标)

Rose

macOS Big Sur icons图标

人工智能测试开发训练营 带你快速掌握AI测试开发技能,获得更好的职业机会和晋升空间

测吧(北京)科技有限公司

测试

如何避免MYSQL主从延迟带来的读写问题?

不在线第一只蜗牛

MySQL

AutoCAD 2019(cad2019)汉化激活版下载附cad产品密钥

Rose

cad2019 AutoCAD 2019

大咖公开课 | 探索AI的边界:如何精准地测试人工智能

测吧(北京)科技有限公司

测试

软件测试学习笔记丨接口测试面试题

测试人

软件测试 面试题 测试开发

深耕版本控制、代码质量与安全等领域,龙智荣获“Perforce 2023年度合作伙伴”奖项

龙智—DevSecOps解决方案

版本控制

云游戏发行是什么?云游戏发行的演进历程

Ogcloud

游戏 云游戏 游戏发行 游戏云化 游戏发行公司

软件测试学习笔记丨Allure2测试用例描述相关用法(测试报告类别划分、名字展示等)

测试人

软件测试

2 月 Web3 游戏行业动态

Footprint Analytics

blockchain

最新修订之后,Java脆弱依旧_Java_Charles Humble_InfoQ精选文章