找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 458|回复: 0

[【IT前沿】] Java漏洞已开始作怪 安全更新得等到七月

[复制链接]
发表于 2010-4-19 17:29:55 | 显示全部楼层 |阅读模式
Java漏洞已开始作怪 安全更新得等到七月


研究人员警告,一个还没修补的Java漏洞已经开始被用来攻击某个音乐歌词网站的造访者,未来应该还有更多类似的会出现。

这个位于Java Web Start中的漏洞是上周被人披露,会影响执行在Windows中的Firefox与IE 浏览器,AVG研究员Roger Thompson表示,虽然外界有传出Chrome也会受影响,但他测试后发现无效。


Thompson发现,Java与另一个Adobe Reader的漏洞已经被某个攻击程序用来瞄准音乐歌词网站Songlyrics.com的网友,不过该站后来已经清除干净。


其运作原理是,网友造访该站后,某个网页广告中的恶意iFrame会自动把电脑导引至放有攻击程序的服务器,用户完全不需点选任何广告。


其中一个攻击程序会启动Adobe Reader使用条款视窗,另一个则去抓取位在另一台服务器上的恶意Java文件。若用户的Reader还没有修补,电脑就会中标。


他说,目前只是瞄准一个歌词网站,但未来应该会越来越多,因此Sun应该赶快发出补丁程序。


Java Web Start 加入Java 6版中的原始用意是希望让开发者有管道可在网友的电脑上执行程序,但现在反而成了攻击者的助力。


FireEye安全架构师Marc Maiffret表示,这次的漏洞特别危险,因为这是逻辑或设计上的漏洞,而非一般常见的buffer overflow(缓冲溢位),这表示攻击程序会比较稳定,且可在不同浏览器上生效。


首先公开这个漏洞的工程师Tavis Ormandy表示,他之前有通知了Sun,但Sun却表示这个问题没那么重要,因此不会赶着推出补丁程序。Sun现在已经被甲骨文并购,而甲骨文是采每季一次推出安全更新,本周该公司才刚推出最新更新,因此最快下一次得等到七月才有更新。


Maiffret表示,只要有使用Java的用户,这都是一个很大的漏洞,等三个才补实在太夸张了,这个漏洞很危险,你不能还在搞按部就班。


甲骨文不愿针对此事表示意见。Thompson建议Windows用户先安装LinkScanner来保护自己电脑,或者依照Ormandy提供的方法来规避。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-12-29 10:57 , Processed in 0.161607 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表