甲骨文漏洞獵人找到全新的Java 7伺服器漏洞 曹乙帆 / 編譯 – 2013/04/23 上週甲骨文(Oracle)釋出了修補多達42個全新安全漏洞的Java 7 Update 21安全更新程式 。本週一，波蘭安全專家再度警告，其在全新出貨的伺服器Java Runtime Environment(JRE)中，發現Reflection API存在的安全漏洞。 「該全新弱點被確認會感染所有版本的Java SE 7（包括最近發表的1.7.0_21-b11在內） ，」資深Java漏洞獵人暨波蘭安全方案商Security Explorations創辦人與執行長Adam Gowdiak在「Full Disclosure mailing list」論壇上指出：「透過該漏洞，能在目標系 統上完全避開Java安全沙盒的偵測。想要成功對Web瀏覽器發動漏洞攻擊，需要適當的使 用者互動（在安全警示窗出現時，使用者必須承擔潛在惡意Java應用程式的執行風險）。 」 根據Gowdiak在Security Explorations的漏洞部落格中表示，他已於週一向甲骨文提交漏 洞報告，其中包括概念式驗證漏洞攻擊程式碼。 儘管在用戶端的攻擊上，必須在使用者不小心點選或允許的前提下，才可能讓惡意應用程 式觸發漏洞攻擊。但原則上該安全漏洞能被用來避開Java沙盒，並可在用戶端或伺服器上 執行任意程式碼。 Java Reflection API安全漏洞持續成為甲骨文的一大挑戰。該安全漏洞會欺騙挑戰與回 應(Challenge-response)安全系統，以洩漏回應自身挑戰的答案。但該漏洞另有不同之處 ，「令人覺得有意思的是，該全新安全疑慮不但會出現在JRE外掛/JDK軟體中，同時也會 出現在最新才剛發表的Server JRE上，」Gowdiak表示。 來源：http://ppt.cc/sN28 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.117.70.206