Google工程师揭露Java“零日”漏洞

北大青鸟大学城校区logo 北大青鸟大学城校区
招生简章校园环境师资力量就业明星招生问答软件工程师北京大学学历学员项目联系我们 报名通道

免费在线咨询通道>>

免费在线报名通道>>

北大青鸟报名电话
当前位置:北大青鸟 > 软件教程 > java教程 >

Google工程师揭露Java“零日”漏洞

标签:   分类:java教程

Google安全工程师Tavis Ormandy上周揭露了Java零日漏洞,黑客得以利用该漏洞于使用者电脑上执行任意程序。

该漏洞是因Java开发套件对参数验证不足所造成的。根据Ormandy的解释,Java原本是透过Java Web Start(JWS)让Java开发人员允许使用者藉由URL存取Java网络执行协定(。jnlp)以执行及安装应用程序,但自Java 6第十更新版后,提供了Java开发套件(Java Deployment Toolkit,JDT)来简化开发人员散布应用程序的程序。

JDT所扮演的角色是把所接收的URL字串传递给JWS注册处理程序,但Ormandy发现,JDT仅提供最基本的URL参数认证,导致他得以传递任何参数到JWS中,还能藉由命令列引数(command-line arguments)行使JWS的完整功能以让该错误成为可被攻击的漏洞。

Ormandy指出,只要是Java SE 6 update 10以后且支援微软windows的版本都受到该漏洞影响,关闭Java外挂程序功能并无法避免受到攻击,因为JDT为独立安装套件。Ormandy相信非Windows版本可幸免于难。

不过,Qualys技术长Wolfgang Kandek表示,该漏洞允许黑客在目标电脑上执行远端程序,而且使用者只要造访一个简单的网页就可能触动攻击。

Ormandy说,相关部门已被告知该漏洞的存在,但得到的反应却是该漏洞并未重要到在每季更新之外提供紧急更新。Ormandy建议使用者在该漏洞被修补前关闭相关的控制工具。

若有疑问请拨打北大青鸟咨询热线:010-80146691或点击免费在线咨询!
  • xml地图 网站地图 招生简章 合作企业 学员项目 联系我们
  • 关闭窗口