Java新漏洞 可能导致Windows用户受到攻击 [转]
2010-04-16 16:43
453 查看
4月11日消息,两位研究人员星期五(4月9日)发布警告称,Java技术中存在一个安全漏洞。如果用户访问一个托管恶意代码的网页,攻击者就可以利用这个安全漏洞并且攻破运行Windows操作系统的计算机。
谷歌工程师Tavis Ormandy在“Full Disclosure”(全面披露)电子邮件列表中发布了这个安全漏洞的细节。Wintercore工程师Ruben Santamarta在该公司播客网站上也发表了类似的文章。
Ormandy说,这个安全漏洞存在于“Java Web Start”框架中。这个框架能够让开发人员更容易地编写应用程序。关闭这个Java插件能够防止攻击。
Ormandy说,这个工具仅提供极少的URL参数验证,使我们能够向“Java Web Start”工具注入任意参数,从而通过命令行参数提供足够的功能,使这个安全漏洞能够被利用。这个错误这样容易被发现时我相信发布这个文件是符合除了厂商之外的所有人的利益的。
据卡巴斯基实验室称,这个安全漏洞影响到目前所有版本的Windows和主要的浏览器,如火狐、IE和Chrome浏览器。
Ormandy说,他已经通知Sun微系统公司有关这个安全漏洞的事情,但是,Sun告诉他说Sun认为这个安全漏洞的优先等级还不足以使该公司在每季度发布补丁的周期之外额外发布一个补丁。
目前已经收购Sun的甲骨文的代表没有回应星期五晚些时候要求发表评论的请求。
谷歌工程师Tavis Ormandy在“Full Disclosure”(全面披露)电子邮件列表中发布了这个安全漏洞的细节。Wintercore工程师Ruben Santamarta在该公司播客网站上也发表了类似的文章。
Ormandy说,这个安全漏洞存在于“Java Web Start”框架中。这个框架能够让开发人员更容易地编写应用程序。关闭这个Java插件能够防止攻击。
Ormandy说,这个工具仅提供极少的URL参数验证,使我们能够向“Java Web Start”工具注入任意参数,从而通过命令行参数提供足够的功能,使这个安全漏洞能够被利用。这个错误这样容易被发现时我相信发布这个文件是符合除了厂商之外的所有人的利益的。
据卡巴斯基实验室称,这个安全漏洞影响到目前所有版本的Windows和主要的浏览器,如火狐、IE和Chrome浏览器。
Ormandy说,他已经通知Sun微系统公司有关这个安全漏洞的事情,但是,Sun告诉他说Sun认为这个安全漏洞的优先等级还不足以使该公司在每季度发布补丁的周期之外额外发布一个补丁。
目前已经收购Sun的甲骨文的代表没有回应星期五晚些时候要求发表评论的请求。
相关文章推荐
- 微软不愿修复Windows漏洞 用户都将受到攻击
- QQDLL加载漏洞可能导致用户密码被窃取
- Java bug导致用户有被大面积攻击的风险
- QQDLL加载漏洞可能导致用户密码被窃取
- Mac OS X现漏洞 苹果称是Java导致恶意攻击
- Java bug导致用户有被大面积攻击的风险
- Windows 7爆出漏洞可应远程攻击宕机
- java 漏洞处理--http host头攻击漏洞处理方案
- 6个可能促使Windows用户尝试Linux的秘密
- 怀疑自己的笔记本电脑可能受到了网络攻击被人监视或操控
- 在设置iis windows身份验证,出错:登录失败:用户帐户限制。可能的原因包括不允许空密码登录时间限制或强制的策略限制。
- MSN Messenger 中的漏洞可能导致信息泄露 (838512)
- jquery下载地址:https://code.jquery.com/jquery/ 影响范围: 版本低于1.7的jQuery过滤用户输入数据所使用的正则表达式存在缺陷,可能导致LOCA
- 人人网站内信安全漏洞导致用户隐私泄露
- 密码字段出现在一个不安全的 http:// 页面中。这是一个可能导致用户登录凭据被窃取的安全风险。
- 利用Java漏洞窃取浏览器信息的黑洞攻击包
- Java漏洞被利用进行大规模攻击
- 最新 Java 漏洞攻击以微软通知做诱饵
- 因Java漏洞,Facebook遭受恶意软件攻击
- Java写文件时文件名\00或者\0截断BUG导致的文件上传漏洞及修复