由于碎片破碎,两岁的Java缺陷重新出现
甲骨文发布的关键Java缺陷的补丁是无效的,安全的研究人员警告说,可以很容易地绕过。这使得漏洞再次被解释,为运行最新版本的Java的PC和服务器攻击攻击方式。
在常见的漏洞和曝光(CVE)数据库中被遗弃为CVE-2013-5838的缺陷由Oracle 9.3使用常见的漏洞评分系统(CVSS)来评级Oracle 9.3。它可以远程利用,无需身份验证,以完全损害系统的机密性,完整性和可用性。
根据波兰安全公司安全探索的研究人员,谁原本报告缺陷Oracle,攻击者可以利用它来逃离Java安全沙箱。在正常条件下,Java运行时环境(JRE)在受安全限制的虚拟机中执行Java代码。
周四,安全探索揭示了漏洞的Oracle修补程序被打破了。通过对2013年发布的概念验证漏洞利用代码进行四个字符的变化,可以逐步绕过修复,安全探索CEO ADAM Gowdiak在发送到完整披露安全邮件列表的消息中写道。
Gowdiak的公司发表了一份新的技术报告,解释了旁路如何更详细地运作。
该公司的研究人员声称他们的新漏洞在最新的java上成功测试了:Java SE 7更新97,Java SE 8更新74和Java SE 9早期访问构建108。
在2013年10月的原始咨询中,Oracle指出,CVE-2013-5838仅影响Java的客户端部署,并且可以通过“沙箱Java Web Start应用程序和沙箱式Java小程序来利用。根据安全探索,这是不正确的。
“我们核实它可以在服务器环境中以及谷歌应用引擎中成功开发,”Gowdiak在完整的披露消息中说。
在客户端,Java的默认安全级别 - 只允许签名的Java小程序运行 - 它的点击播放行为可以充当缓解因素。这些安全限制可以防止自动静音攻击。
为了利用对最新Java安装的漏洞,攻击者需要找到一个单独的漏洞,允许它们绕过安全提示或说服用户批准其恶意小程序的执行。后一条路线更有可能。
在披露之前,安全探索未通知Oracle关于CVE-2013-5838旁路。根据Gowdiak的说法,该公司的新政策是在发现该公司已经向供应商报告的漏洞时立即通知公众。
“我们不再容忍破碎的修复,”他说。
目前尚不清楚oracle是否会推出紧急Java更新只是为了修补此漏洞,或者它将等到下一个季度关键补丁更新,该修补程序计划于4月19日安排。