Java bug导致用户有被大面积攻击的风险
2010-12-06 22:27
363 查看
安全研究人员Tavis Ormandy在研究Java运行环境时发现了一个重大漏洞,远程攻击者可以利用最终用户的机器上的Java最新版本来执行恶意代码。
该问题出在Java Web Start的组件上,它可以通过IE、Firefox和其它浏览器和应用程序被调用,攻击者可以通过这些应用锁打开的特别设计后的网站静默传输恶意指令。
不过安全人员表示,这种漏洞似乎并不会被Sun注意到,他们的补丁发布周期相当漫长,并且这种漏洞似乎也没有足够的优先级来让他们处理,Sun并没有评估漏洞实际缺陷的机制。
目前还没有相关厂商为它发布补丁,暂时的修补程序只能用于IE和Firefox浏览器。此外,他还对用户PC上的Java表示好奇--“一年前我就删除了Java,到现在为止还没有遇到网站方面无法运作的问题,为什么人们仍然在浏览器中运行Java?”
查看:Java Deployment Toolkit Performs Insufficient Validation of Parameters
该问题出在Java Web Start的组件上,它可以通过IE、Firefox和其它浏览器和应用程序被调用,攻击者可以通过这些应用锁打开的特别设计后的网站静默传输恶意指令。
不过安全人员表示,这种漏洞似乎并不会被Sun注意到,他们的补丁发布周期相当漫长,并且这种漏洞似乎也没有足够的优先级来让他们处理,Sun并没有评估漏洞实际缺陷的机制。
目前还没有相关厂商为它发布补丁,暂时的修补程序只能用于IE和Firefox浏览器。此外,他还对用户PC上的Java表示好奇--“一年前我就删除了Java,到现在为止还没有遇到网站方面无法运作的问题,为什么人们仍然在浏览器中运行Java?”
查看:Java Deployment Toolkit Performs Insufficient Validation of Parameters
相关文章推荐
- Java bug导致用户有被大面积攻击的风险
- Java新漏洞 可能导致Windows用户受到攻击 [转]
- MS16-072导致WINDOWS 2008 2012基于用户过滤的组策略大面积失效
- Java中关于 BigDecimal 的double入参的构造函数导致的数据似乎损失精度的bug
- Jackson 触发的String.intern() bug, 导致内存持续增加,JVM-Java内存泄漏
- XP bug 导致的java.lang.NoClassDefFoundError:javax/transaction/SystemException问题解决
- 金山毒霸严重BUG导致大量Win7用户系统崩溃
- java项目中普遍存在的一个bug,用户直接可以通过url访问本人没有权限的页面
- Java写文件时文件名\00或者\0截断BUG导致的文件上传漏洞及修复
- Dubbo之——线程模型(Linux 用户线程数限制导致的 java.lang.OutOfMemoryError: unable to create new native thread 异常)
- java在线聊天项目1.3版设计好友列表框功能补充,因只要用户登录就发送一串新列表,导致不同客户端好友列表不同问题
- 一次BUG优化经经历:JVM崩溃产生hs_err_pid.log,导致生成javacore文件
- 金山毒霸严重BUG再次导致大量Win7/8用户系统崩溃
- Asp.net Membership的BUG:存储过程错误导致无法更新用户最近活动时间
- Java中static变量相互引用导致的Bug
- 【转】索尼称新攻击事件导致3.75万用户受影响
- 同时大量连接导致的DDOS攻击,导致收发器宕机,用户大面积超时掉线
- Mac OS X现漏洞 苹果称是Java导致恶意攻击
- A站遭攻击导致千万用户数据泄露
- A站遭攻击导致千万用户数据泄露