神刀安全网

由于补丁错误,2年前的JAVA漏洞(CVE-2013-5838 )可再次被利用

由于补丁错误,2年前的JAVA漏洞(CVE-2013-5838 )可再次被利用

甲骨文公司在2013年为某个JAVA关键漏洞发布了补丁,而安全研究人员最近发现这个补丁是无效的,可以很容易的被绕过。这使得漏洞可以被再次利用,运行最新版本JAVA的个人电脑和服务器可能因为这个无效的补丁而遭受到攻击。

之前这个漏洞编号为CVE-2013-5838,被 甲骨文公司 评分为9.3分(满分10分)。它可以被远程利用,不需要身份验证,完全无视系统的机密性、完整性和可用性。

根据波兰安全公司Security Explorations的研究人员的报告,他最初向甲骨文公司报告了这个漏洞,攻击者可以利用这个漏洞来逃逸JAVA安全沙箱。在正常情况下,JAVA运行时环境(JRE)执行JAVA代码是在一个有安全限制的虚拟机中。

在上周四,Security Explorations报告了关于这个漏洞的补丁是无效的。只需要在2013年证明该漏洞的验证代码中改变4个字符就可以轻易绕过这个补丁,Security Explorations的首席执行官Adam Gowdiak将这一 消息发送 到了Full Disclosure的安全邮件列表中。

Gowdia的公司也发布了一份 新的报告 ,详细的解释了这次的绕过原理。

该公司的研究人员声称,他们的漏洞利用代码在最新版本的JAVA上成功进行了测试,包括Java SE 7 Update 97, Java SE 8 Update 74 和Java SE 9 Early Access Build 108这些版本.

在2013年10月,甲骨文公司表示 CVE-2013-5838只会影响由JAVA部署的客户端,并且可以通过“沙箱中的JAVA Web Start应用程序和JAVA applet程序 ”被利用。而根据Security Explorations的研究报告,这是不正确的。

“我们证实,它可以在服务器环境中成功利用,我们在Google App Engine的JAVA环境中进行了测试。”,Gowdiak在Full Disclosure的邮件列表中这样说道。

在客户端,JAVA的默认安全级别只允许签名的java applet运行,并且还需要用户进行点击才能运行。这些安全限制可以防止自动静默攻击行为的发生。

为了利用最新的JAVA安全漏洞,攻击者需要找到一个单独的安全缺陷,从而让它们可以绕过安全提示或者诱使用户点击运行他们的恶意applet。后者更容易做到。

Security Explorations在披露绕过CVE-2013-5838补丁之前并没有通知甲骨文公司。根据Gowdiak公司的新政策,当发现不恰当的补丁时,他们会首先将这些告知公众,目前,该公司已经将这些告知给了供应商。

“我们不能容忍错误的补丁”,Gowdiak这样说道。

目前尚不清楚甲骨文公司会不会推出一项紧急JAVA更新来修复这个漏洞,或者它会等到下个季度的关键补丁更新日(4月19号)才会发布相应补丁。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。

原文链接:http://www.pcworld.com/article/3043063/security/two-year-old-java-flaw-re-emerges-due-to-broken-patch.html

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » 由于补丁错误,2年前的JAVA漏洞(CVE-2013-5838 )可再次被利用

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮