Oracle于8月30日发布的最新Java更新中发现了一个问题

安全研究人员说，他们在Oracle最近针对一系列攻击而发布的Java7更新中发现了一个漏洞。根据波兰公司SecurityExplorations的说法，此更新包含一个漏洞，攻击者可以利用该漏洞绕过JVM沙箱，并利用该公司先前于4月向Oracle披露的漏洞。SecurityExplorations首席执行官AdamGowdiak拒绝透露该漏洞的详细信息，但表示该公司已通知Oracle。他说，甲骨文已经告知该公司正在调查。

他在一封电子邮件中告诉eWEEK：“我们发现并向Oracle报告了一个安全问题，该问题影响了最近发布的修补Java版本(7Update7，该版本于2012年8月30日发布)。”“我无法分享有关该新错误的性质的更多详细信息。[但是]与2012年4月的某些问题结合使用时，此新问题可以促进对最新JavaSE7Update7的成功执行代码攻击。”

Java更新(于8月30日发布)是由针对CVE-2012-4681的攻击的广泛报道引起的。CVE-2012-4681的漏洞利用程序已合并到许多漏洞利用工具包中，包括SweetOrange和BlackHole。据赛门铁克称，即使是去年针对化学工业而发现的Nitro攻击活动背后的黑客，也已将该漏洞纳入其最新攻击的组合中。

Sophos高级安全顾问GrahamCluley在博客中写道，由于Java的普遍性以及它在许多组织中通常已经过时的事实，恶意软件作者利用Java中的漏洞已变得越来越普遍。根据漏洞管理公司Rapid7的统计，Java用户的补丁程序率很低，只有35%的用户在更新可用后90天内应用补丁程序。

Cluley在博客中写道：“网络罪犯也喜欢Java，因为Java具有跨平台的能力，可以在计算机上运行，​​而不管它们是运行Windows，MacOSX还是Linux。”“因此，在提供特定于操作系统的有效负载之前，恶意黑客将Java用作攻击的一部分对我们来说并不罕见。”

Rapid7的Metasploit工程师经理TodBeardsley说，大多数人可以禁用Java并且不会注意到用户体验的差异，因为很少有网站依赖Java来获取动态内容。

他说：“重要的是要记住，这肯定不是我们在Java上看到的最后0天。”“仍然建议禁用Java浏览器插件，除非您知道需要使用它的网站。GoogleChrome，MozillaFirefox和MicrosoftInternetExplorer都允许这种“白名单”配置。保持您的位置仍然是一个好主意漏洞配置文件下一次降低。”

标签：

免责声明：本文为转载，非本网原创内容，不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。