两年来首次发现 Java 0day 漏洞

  • Abraham Marín Pérez
  • 晁鹏飞

2015 年 8 月 15 日

话题:Java安全DevOps

最近 Oracle 公司宣布了一个近两年以来首个 Java 0day 漏洞,它影响着 Java Web Start 的应用程序沙箱和 Java applets 的沙箱。考虑到此漏洞正在被利用,加上它便于开发,根据 CVSS(通用漏洞评分系统)给此漏洞以最高风险级别的评分。Oracle 公司已经发布了一个补丁,并敦促客户尽快升级。

该漏洞被确认为CVE-2015-2590,它是趋势科技的智能防护网络在分析一些针对北约成员国和美国国防组织的电子邮件后被发现的。这些电子邮件包含了一些链接,指向了 Java applets 的网站,这些 Java applets 利用上述漏洞,允许在受害者电脑上执行远程代码。

重要的是要知道这个漏洞并不会影响整个 Java 运行环境,只影响 Java Web Start 程序和 Java applets。它不会影响到服务器部署的应用,甚至也不会影响在本地运行的客户端部署的 Java 应用程序。这意味着用户只要不导航到包含这类应用的网站,就不会有危险。但是对于那些已经做了危险操作的人,Oracle 根据用户的属性确定了 2 个等级的风险

由于这种漏洞允许活动中的用户执行代码,所以它所造成的影响依赖于这个用户是否拥有管理员权限。在 Linux 和 Solaris 系统、还有 Windows 系统,比如 Windows Vista 或之后的系统,用户通常是没有管理员权限的(在 Windows Vista 和之后的系统中,用户可能有这样的权限,但是需要一个明确的确认,进入提升模式来获取管理员权限);针对这种情况,Oracle 公司的 CVSS 评分是 7.5(总分 10 分)。然而,一些系统像 Windows XP,它的使用者仍然占有很大的比重,这些用户通常是标准用户,系统直接授予他们管理员权限。这使得他们特别容易受到远程代码执行的攻击。针对这类情况,Oracle 评分为 10 分(总分 10 分)。

Oracle 公司在 7 月 14 日,发布了一个针对这个漏洞的修复,并将其作为他们 CPU 计划的一部分,或者关键补丁的更新。CPU 每个季度发布一次版本,并且每次都包含上一个季度漏洞的修复。很可能是因为漏洞是在计划更新时间的前不久发现的,所以将这个漏洞的修复作为计划升级的一部分。如果此漏洞是在其他时间发现,Oracle 公司很可能发布一个计划之外的安全警告更新,就像曾经发生过的漏洞 CVE-2013-1493 一样。

查看英文原文:First Zero-Day Java Vulnerability in Two Years


感谢张龙对本文的审校。

给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

Java安全DevOps