天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧安全 >> 正文

Java漏洞已开始作怪 安全更新得等到七月

2010-4-16cnet佚名
     研究人员警告,一个还没修补的Java漏洞已经开始被用来攻击某个音乐歌词网站的造访者,未来应该还有更多类似的会出现。

  这个位于Java Web Start中的漏洞是上周被人披露,会影响执行在Windows中的Firefox与IE 浏览器,AVG研究Roger Thompson表示,虽然外界有传出Chrome也会受影响,但他测试后发现无效。

  Thompson发现,Java与另一个Adobe Reader的漏洞已经被某个攻击程序用来瞄准音乐歌词网站Songlyrics.com的网友,不过该站后来已经清除干净。

  其运作原理是,网友造访该站后,某个网页广告中的恶意iFrame会自动把电脑导引至放有攻击程序的服务器,用户完全不需点选任何广告。

  其中一个攻击程序会启动Adobe Reader使用条款视窗,另一个则去抓取位在另一台服务器上的恶意Java文件。若用户的Reader还没有修补,电脑就会中标。

  他说,目前只是瞄准一个歌词网站,但未来应该会越来越多,因此Sun应该赶快发出补丁程序。

  Java Web Start 加入Java 6版中的原始用意是希望让开发者有管道可在网友的电脑上执行程序,但现在反而成了攻击者的助力。

  FireEye安全架构师Marc Maiffret表示,这次的漏洞特别危险,因为这是逻辑或设计上的漏洞,而非一般常见的buffer overflow(缓冲溢位),这表示攻击程序会比较稳定,且可在不同浏览器上生效。

  首先公开这个漏洞的工程师Tavis Ormandy表示,他之前有通知了Sun,但Sun却表示这个问题没那么重要,因此不会赶着推出补丁程序。Sun现在已经被甲骨文并购,而甲骨文是采每季一次推出安全更新,本周该公司才刚推出最新更新,因此最快下一次得等到七月才有更新。

  Maiffret表示,只要有使用Java的用户,这都是一个很大的漏洞,等三个才补实在太夸张了,这个漏洞很危险,你不能还在搞按部就班。

  甲骨文不愿针对此事表示意见。Thompson建议Windows用户先安装LinkScanner来保护自己电脑,或者依照Ormandy提供的方法来规避。

本文来源:cnet 作者:佚名

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行