CNET科技资讯网4月13日国际报道 研究员警告,Java技术有个安全漏洞,可能让黑客利用来发动攻击,入侵执行Windows操作系统的电脑,只要受害者造访内含恶意程序代码的网页,就能让黑客得逞。
Google工程师Tavis Ormandy在Full Disclosure电子邮件论坛中有详细的描述,而同时Wintercore的工程师Ruben Santamarta也在公司博客上谈论此事。
问题出在Java Web Start架构,此架构让开发者轻易制作Java应用程序。若只是关闭这个Java外挂程序(plug-in),并不能防堵攻击。
Ormandy写道:这个工具包(toolkit)只提供极有限的URL参数验证,以致能让任意的参数通过javaws Java Web Start公用程序,而后者借命令列参数(command line arguments)提供足够的功用,让黑客能利用这个错误。他还说:由于很容易就能发现这项错误,我相信,公布这个文件对大家都好,只有软件厂商除外。
根据Kaspersky Lab的Threat Post博客,上述安全漏洞影响所有目前的Windows版本,以及包括Firefox、Internet Explorer和Chrome在内的主要浏览器。
Ormandy表示,他已向Sun通报这个问题,但对方告诉他,问题尚未严重到必须在每季例行安全更新日之前发布补丁程序的地步。 |
