4月11日消息,两位研究人员星期五(4月9日)发布警告称,Java技术中存在一个安全漏洞。如果用户访问一个托管恶意代码的网页,攻击者就可以利用这个安全漏洞并且攻破运行Windows操作系统的计算机。 谷歌工程师TavisOrmandy在“FullDisclosure”(全面披露)电子邮件列表中发布了这个安全漏洞的细节。Wintercore工程师RubenSantamarta在该公司播客网站上也发表了类似的文章。 Ormandy说,这个安全漏洞存在于“JavaWebStart”框架中。这个框架能够让开发人员更容易地编写应用程序。关闭这个Java插件能够防止攻击。 Ormandy说,这个工具仅提供极少的URL参数验证,使我们能够向“JavaWebStart”工具注入任意参数,从而通过命令行参数提供足够的功能,使这个安全漏洞能够被利用。这个错误这样容易被发现时我相信发布这个文件是符合除了厂商之外的所有人的利益的。 据卡巴斯基实验室威胁播客称,这个安全漏洞影响到目前所有版本的Windows和主要的浏览器,如火狐、IE和Chrome浏览器。 Ormandy说,他已经通知Sun微系统公司有关这个安全漏洞的事情,但是,Sun告诉他说Sun认为这个安全漏洞的优先等级还不足以使该公司在每季度发布补丁的周期之外额外发布一个补丁。 目前已经收购Sun的甲骨文的代表没有回应星期五晚些时候要求发表评论的请求。 |
