安全研究人員警告稱,甲骨文在2013年發布的一個關鍵 Java 漏洞更新是無效的,黑客可以輕松繞過。這使得此漏洞可以被再度利用,攻擊運行最新版本 Java 的個人計算機及服務器。
該漏洞在通用漏洞及披露數據庫中的代碼為 CVE-2013-5838 ,甲骨文在通用漏洞評分系統上給其打出過 9.3/10 的高分。 該漏洞可被遠程利用,不需要授權驗證即可完全入侵系統,損害其機密性、完整性、可用性。
波蘭公司 Security Explorations 的研究人員最早向甲骨文上報了該漏洞。他們表示,攻擊者可以利用它從 Java 安全沙盒中逃逸。通常情況下,Java運行時間環境(JRE)在虛擬機中運行 Java 代碼。
Security Explorations 公司首席執行官亞當·高迪亞克(Adam Gowdiak)在發給 Full Disclousure 安全郵件列表的信中稱,僅僅更改2013年概念驗證攻擊代碼中的四個字符,就可以繞過該補丁。高迪亞克的公司已經就這種攻擊方式發表了一篇新的技術報告,并表示他們已經在最新版本的 Java SE 7 Update 97 、 Java SE 8 Update 74 、 Java SE 9 Early Access Build 108 上測試了這種新的利用方法。
甲骨文在2013年10月最初公布的公告中稱 CVE-2013-5838 僅影響 Java 的客戶端,可以通過“Java Web Start 應用沙盒和 Java 小程序沙盒”進行利用。但Security Explorations 公司表示,這種說法是錯誤的。
高迪亞克在發給 Full Disclosure 的信中提到,“經過驗證,我們發現該漏洞還可被用于入侵服務器環境和 Java 下的 Google App Engine。”
在客戶端,Java 的默認安全級別,僅允許有簽名的 Java 小程序運行,而且它的點擊后播放還可以作為防御手段。這些安全限制可以防止自動化的靜默攻擊。
如果攻擊者想在最新的 Java 實例上利用這一漏洞,他們需要找到另外一個可幫助繞過安全提示的漏洞,或者說服用戶在運行惡意 Java 小程序時點擊允許。他們更有可能采取后一種策略。
在公開披露之前,Security Explorations 公司還未就 CVE-2013-5838 的這一最新問題通知甲骨文。高迪亞克表示,他公司的新政策是,對于已經上報給廠商的漏洞補丁,如果有問題會立即公告大眾。
我們以后不會容忍有問題的補丁。
目前尚不清楚甲骨文是否會對這一漏洞發布緊急 Java 更新,還是會與預計于4月19日發布的第二季度關鍵漏洞更新一同發布。
京公網安備 11010502049343號