本文讲的是补丁问题导致Java高危漏洞再现 可攻击最新版服务器,安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过。这使得此漏洞可以被再度利用,攻击运行最新版本 Java 的个人计算机及服务器。
该漏洞在通用漏洞及披露数据库中的代码为 CVE-2013-5838 ,甲骨文在通用漏洞评分系统上给其打出过 9.3/10 的高分。 该漏洞可被远程利用,不需要授权验证即可完全入侵系统,损害其机密性、完整性、可用性。
波兰公司 Security Explorations 的研究人员最早向甲骨文上报了该漏洞。他们表示,攻击者可以利用它从 Java 安全沙盒中逃逸。通常情况下,Java运行时间环境(JRE)在虚拟机中运行 Java 代码。
Security Explorations 公司首席执行官亚当·高迪亚克(Adam Gowdiak)在发给 Full Disclousure 安全邮件列表的信中称,仅仅更改2013年概念验证攻击代码中的四个字符,就可以绕过该补丁。高迪亚克的公司已经就这种攻击方式发表了一篇新的技术报告,并表示他们已经在最新版本的 Java SE 7 Update 97 、 Java SE 8 Update 74 、 Java SE 9 Early Access Build 108 上测试了这种新的利用方法。
甲骨文在2013年10月最初公布的公告中称 CVE-2013-5838 仅影响 Java 的客户端,可以通过“Java Web Start 应用沙盒和 Java 小程序沙盒”进行利用。但Security Explorations 公司表示,这种说法是错误的。
高迪亚克在发给 Full Disclosure 的信中提到,“经过验证,我们发现该漏洞还可被用于入侵服务器环境和 Java 下的 Google App Engine。”
在客户端,Java 的默认安全级别,仅允许有签名的 Java 小程序运行,而且它的点击后播放还可以作为防御手段。这些安全限制可以防止自动化的静默攻击。
如果攻击者想在最新的 Java 实例上利用这一漏洞,他们需要找到另外一个可帮助绕过安全提示的漏洞,或者说服用户在运行恶意 Java 小程序时点击允许。他们更有可能采取后一种策略。
在公开披露之前,Security Explorations 公司还未就 CVE-2013-5838 的这一最新问题通知甲骨文。高迪亚克表示,他公司的新政策是,对于已经上报给厂商的漏洞补丁,如果有问题会立即公告大众。
我们以后不会容忍有问题的补丁。
目前尚不清楚甲骨文是否会对这一漏洞发布紧急 Java 更新,还是会与预计于4月19日发布的第二季度关键漏洞更新一同发布。