çµ±ä¸è¶ å-ä¸æµæç人ç¯
Oracle已发布紧急Java安全更新以修复一个严重漏洞,该漏洞可能允许攻击者在访问特制网站时危害计算机。
该公司已将CVE-2016-0636分配为该漏洞的标识符,这表明它是今年发现的一个新漏洞,但情况并非如此。
波兰安全公司Security Explorations通过电子邮件确认新的Java更新实际上修复了该公司在2013年最初向Oracle报告的漏洞的损坏修补程序。
[更多阅读:如何从Windows PC中删除恶意软件]本月早些时候,Security Explorations宣布,甲骨文于2013年10月发布的针对CVE-2013-5838严重漏洞的补丁无效,并且可以通过仅更改原始漏洞中的四个字符而轻松绕过补丁。这意味着该漏洞在最新版本的Java中仍然可以利用。
安全研究人员发布了一份详细的技术报告,他们在未事先联系Oracle的情况下描述了旁路。他们表示,该公司不再容忍破碎的供应商修复程序,并会公开披露它们。“似乎Oracle决定将安全探索的绕过技术视为一个全新的漏洞。在周三发布的安全警报中,该公司没有提到旧的CVE-2013-5838漏洞或波兰安全公司的发现。但是,它指出客户应该尽快安装新的Java更新,因为缺陷严重性和“技术细节的公开披露”。
建议Java SE 8用户安装新发布的Java SE 8 Update 77(8u77)。针对Java 6和7的安全更新仅适用于拥有长期支持合同的客户,因为这些版本不再受公开支持。
“在Java SE 8 Update 77下进行的快速测试显示该补丁确实阻止了我们的证明的概念代码“,Secure Explorations的创始人兼首席执行官Adam Gowdiak通过电子邮件说道。 “修复主要应用于sun.invoke.util.VerifyAccess类的isTypeVisible方法,该方法有助于设置沙盒转义(类欺骗攻击)。”
Gowdiak说他并不认为此修复方法是特别是因为甲骨文现在知道Secure Explorations的新政策,即在没有事先警告的情况下公开披露损坏的修补程序。
