写点什么

Java 惊现 0day 漏洞,Oracle 紧急升级

  • 2012-09-02
  • 本文字数:612 字

    阅读完需:约 2 分钟

8 月中旬 Oracle 刚刚发布了 Java 7u6 和 6u34 版本,但短短半个月时间之后的 8 月 30 日,Oralce 紧急发布了新版本的 JDK 和 JRE,原因是发现了一个严重的 0day 漏洞 CVE-2012-4681 ,远程攻击者可以通过它绕开 SecurityManager 的限制执行代码,但服务器端和桌面端的 Java 程序不受该漏洞影响。

FireEye 于 8 月 26 日在网上发布了该漏洞的信息,随后 NIST 也发出了警告并进行了一些说明——在 Java 7u6 和 6u34 及之前的版本上,攻击者可以通过如下手段绕开 SecurityManager 的限制:

使用 com.sun.beans.finder.ClassFinder.findClass 并利用 forName 方法从任意包访问受限类(例如 sun.awt.SunToolkit),随后利用 getField 方法就能访问并修改私有成员属性了

攻击者就是通过 getField 方法取得运行 java.beans.Statement 所需的权限,覆盖该权限,允许运行所有代码,在 Statement 关闭 SecurityManager 后,Applet 就能“为所欲为”了。

赛门铁克的说明中表示,他们发现攻击者至少从8 月22 日起就已经通过该漏洞发动攻击了,并定位了两个提供恶意软件的站点,下载到的恶意软件经鉴定为 Trojan.Dropper

国内的 Freebuf 在分析恶意代码时发现了其中有这样一段代码,即“我有一只小毛驴,从来也不骑”。

String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi";如果您对该漏洞的细节感兴趣,可以阅读 DeepEnd Research 的这篇分析。建议在浏览器中使用 Java 的同学立刻将自己的 Java 升级到 7u7 或 6u35 版本

2012-09-02 09:304191
用户头像

发布了 135 篇内容, 共 61.1 次阅读, 收获喜欢 43 次。

关注

评论

发布
暂无评论
发现更多内容

火山引擎DataLeap推出全链路智能监控报警平台

字节跳动数据平台

数据中台 SLA 数据监控 企业号 4 月 PK 榜

从零学习SDK(5)SDK文档的学习和参考

MobTech袤博科技

火山引擎数智平台协助洞察美图类APP新增长 付费用户转化超过124%

字节跳动数据平台

大数据 增长 产品增长 企业号 4 月 PK 榜 美图

软件测试如何自我提升

FunTester

深度学习基础入门篇[四]:激活函数介绍:tanh、sigmoid、ReLU、PReLU、ELU、softplus、softmax、swish等

汀丶人工智能

人工智能 机器学习 深度学习 激活函数

Spring Cloud微服务网关Zuul过滤链和整合OAuth2+JWT入门实战

做梦都在改BUG

Java Spring Cloud OAuth2 JWT Zuul

GitHub程序调优「黑马」!阿里大牛的Java性能优化实战笔记已上线

做梦都在改BUG

Java 面试 性能优化 性能调优

对标大厂的技术派方案设计,带你了解一个项目从0到1实现的全过程

Java你猿哥

Java 架构 ssm 项目设计

Maya 2024中文特别版 适用于Apple M和 intel/win系统

理理

maya破解版 maya2024

看了我常用的IDEA插件,同事也开始悄悄安装了

Java你猿哥

Java 程序员 ssm IDEA 架构师

OpenTelemetry 正在改变我们跟踪和设计应用的方式

NGINX开源社区

nginx 云原生

软件测试/测试开发丨Pytest 结合 Allure 生成测试报告

测试人

软件测试 自动化测试 测试开发 pytest Allure

三维设计新帮手|Blender怎么入门?

Finovy Cloud

blender 3D软件

数据开发提效有秘诀!离线开发BatchWorks 六大典型场景拆解

袋鼠云数栈

大数据 离线开发

商汤版ChatGPT「商量」来了!开放API,基于千亿参数大模型,体验实录在此

Openlab_cosmoplat

开源社区 ChatGPT

PC GWP-ASan方案原理 | 堆破坏问题排查实践

字节跳动终端技术

问题排查 PC

解决事务隔离产生问题的MVCC

做梦都在改BUG

阿里内部热捧“Spring全线笔记”,不止是全家桶,太完整了

Java你猿哥

spring Spring Cloud Spring Boot Spring MVC

手把手教你,从零开始搭建Spring Cloud Alibaba!这份笔记太牛了

Java你猿哥

spring Spring Cloud ssm 架构师

重磅官宣,OpenHarmony开发者大会来了!

OpenHarmony开发者

OpenHarmony

阿里独家「操作系统和计算机网络」,GitHub标星超百万

做梦都在改BUG

Java 程序员 计算机网络 操作系统

深度剖析Redis九种数据结构实现原理

做梦都在改BUG

Java 数据库 redis 缓存

Mac电脑照片编辑修图软件精选 每一款各有千秋!

理理

Mac软件 图片编辑 抠图软件 苹果软件资源

自阿里P8爆出内部1031道java面试题后,在Boss直聘狂拿千份Offer

做梦都在改BUG

Java java面试 Java八股文 Java面试题 Java面试八股文

selenium源码通读·4 |webdriver/common分析

Python 源码 测试 自动化测试 selenium

Nautilus Chain 上首个 DEX PoseiSwap 通证经济学模型解析

股市老人

Netty服务开发及性能优化

做梦都在改BUG

Java Netty

GitHub数据库榜单第一:Redis核心原理实践

做梦都在改BUG

Java 数据库 redis 缓存

博睿学院 | 本周四:OpenTelemetry技术在数据标准化中应用实践

博睿数据

可观测性 智能运维 博睿数据 前沿技术 博睿学院

selenium源码通读·5 |webdriver/common/action_chains.py-ActionChains类分析

Python 源码 测试 自动化测试 selenium

Java惊现0day漏洞,Oracle紧急升级_Java_丁雪丰_InfoQ精选文章