由于碎片破碎,两岁的Java缺陷重新出现
MPS表示,IT系统的司法部IT系统是“脆弱和岌岌可危”
英特尔眼睛一条往返摩尔定律的道路
虚拟仪器将VirtualWisdom扩展到NAS测试
英特尔正在为MacBook排队超快速的Optane SSD技术
如何不做伙伴渠道?Dropbox和变化的压力
趋势科学表示,了解刑事境地辩护的关键
美国仍将推动加密解决方法
英特尔开发人员论坛:出于服务器机房和智能设备
Doj在Apple Case之前知道可能的iPhone开裂方法
Home IoT技术与大多数房屋无关
说,IBM的一个月的遣散费意味着下岗工人的痛苦结束
400安全事件在奥运网络上监控第二次
仅限数字原子银行向公众开放
握手想成为B2B集的广场
厌倦了等待网站加载?这个新技术可以将时间缩短一半以上
“该师”如何成为一个大规模的社会实验
国家网络安全中心BOSS计划扩大DNS过滤器
握手想成为B2B集的广场
32中小企业赢得DigitalHealth.London加速器计划
Windows 10的WASHY升级战术享受份额增长
Microsoft在Office 2016中添加宏锁定功能,以响应越来越多的攻击
Deutsche Telekom为了提高欧洲企业的安全提供
Apple的品牌感知,公众与FBI有关
更新:FBI表示,可能已经找到了射击射手的iPhone的方法
政府宣布作为学徒征税指南的一部分的数字学徒服务
ARM扩展物联网安全团队
Oracle Q1 2016-17:甲骨文的云销量增长到近1亿美元
Deutsche Telekom为了提高欧洲企业的安全提供
上下文警告在黑帽美国的VoIP战争
在赫兹,警长,震惊和艰难的选择
FBI警告,车辆对黑客来说是“越来越脆弱”的车辆
谷歌WOOS企业营销商,具有新的分析套房
NSA使用伊拉克战争来开发监控能力,文件展示
微软开源A.I.基于MINECRAFT的开发平台
Google文档现在让您决定格式编辑
欧盟为Privacy Shield协议添加了详细信息,准备给予IT法律
英国国家网络安全中心设为推出
IBM Sues Groupon侵犯其专利,包括来自Prodigy在线服务
微软开源A.I.基于MINECRAFT的开发平台
HPE在CeBIT显示了头像展位
Google文档现在让您决定格式编辑
HPE在CeBIT显示了头像展位
欧盟为Privacy Shield协议添加了详细信息,准备给予IT法律
研究人员说,IoT安全威胁是真实的
有两次车辆发现拥有易受黑客攻击的无线钥匙进入系统
甲骨文利润幻灯片尽管云迅速增长
为什么东盟SMBS越来越多地选择SaaS
学习表演,勒索沃特沃特的五分之一的企业被迫关闭
公司敦促在GlobalSign停电后自动化安全证书备份
您的位置:首页 >论坛 > 电子业界 >

由于碎片破碎,两岁的Java缺陷重新出现

2021-06-23 12:44:15 [来源]:

甲骨文发布的关键Java缺陷的补丁是无效的,安全的研究人员警告说,可以很容易地绕过。这使得漏洞再次被解释,为运行最新版本的Java的PC和服务器攻击攻击方式。

在常见的漏洞和曝光(CVE)数据库中被遗弃为CVE-2013-5838的缺陷由Oracle 9.3使用常见的漏洞评分系统(CVSS)来评级Oracle 9.3。它可以远程利用,无需身份验证,以完全损害系统的机密性,完整性和可用性。

根据波兰安全公司安全探索的研究人员,谁原本报告缺陷Oracle,攻击者可以利用它来逃离Java安全沙箱。在正常条件下,Java运行时环境(JRE)在受安全限制的虚拟机中执行Java代码。

周四,安全探索揭示了漏洞的Oracle修补程序被打破了。通过对2013年发布的概念验证漏洞利用代码进行四个字符的变化,可以逐步绕过修复,安全探索CEO ADAM Gowdiak在发送到完整披露安全邮件列表的消息中写道。

Gowdiak的公司发表了一份新的技术报告,解释了旁路如何更详细地运作。

该公司的研究人员声称他们的新漏洞在最新的java上成功测试了:Java SE 7更新97,Java SE 8更新74和Java SE 9早期访问构建108。

在2013年10月的原始咨询中,Oracle指出,CVE-2013-5838仅影响Java的客户端部署,并且可以通过“沙箱Java Web Start应用程序和沙箱式Java小程序来利用。根据安全探索,这是不正确的。

“我们核实它可以在服务器环境中以及谷歌应用引擎中成功开发,”Gowdiak在完整的披露消息中说。

在客户端,Java的默认安全级别 - 只允许签名的Java小程序运行 - 它的点击播放行为可以充当缓解因素。这些安全限制可以防止自动静音攻击。

为了利用对最新Java安装的漏洞,攻击者需要找到一个单独的漏洞,允许它们绕过安全提示或说服用户批准其恶意小程序的执行。后一条路线更有可能。

在披露之前,安全探索未通知Oracle关于CVE-2013-5838旁路。根据Gowdiak的说法,该公司的新政策是在发现该公司已经向供应商报告的漏洞时立即通知公众。

“我们不再容忍破碎的修复,”他说。

目前尚不清楚oracle是否会推出紧急Java更新只是为了修补此漏洞,或者它将等到下一个季度关键补丁更新,该修补程序计划于4月19日安排。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。