一名以发现Java漏洞而闻名的安全研究人员在Oracle当前支持的所有版本中发现了一个新的严重的零日漏洞。
该漏洞被公开报道在完全披露安全邮件列表周二,波兰安全公司security Explorations的创始人兼首席执行官亚当·高迪亚克(Adam Gowdiak)被利用劫持一台装有Java的机器,让攻击者在系统上安装恶意软件。
如果用户安装了Java,或者OS X运行了10.6或更早版本的雪豹,那么Windows电脑和mac电脑都有同样的风险。雪豹是苹果将Java与操作系统捆绑在一起的最后一个版本。
所有当前支持的Java版本,包括Java 5、Java 6和Java 7,都包含这个bug。
Gowdiak过去也发现过其他Java漏洞:今年早些时候,他向Oracle报告了十多个漏洞。几个月后,黑客独立发现了其中一个漏洞,然后开始使用它8月大范围的袭击.
8月30日,Oracle发布了一项罕见的紧急安全更新,即“带外”安全更新修补被利用的Java错误.
Gowdiak周二披露的漏洞可能比已经被利用的漏洞更严重,目前对用户的风险更小。
“当涉及到Java桌面的数量时,潜在的影响更大,”Gowdiak在回答问题的电子邮件中说。“该漏洞影响最新安装的Java 5、6和7。我们甚至测试了Java 7 Update 10(2012年9月20日发布的版本)的开发者预览版,证实它也存在漏洞。”
上个月被网络犯罪分子利用的Java零日仅存在于Java 7——最新版本——正因为如此,Gowdiak和其他专家建议用户降级到安全的Java 6。
但现在并非如此,因为所有版本的Java都存在这个缺陷。
Gowdiak使用Oracle引用的已安装的统计数据,认为大约有10亿计算机用户因为这个未修补的漏洞而处于危险之中。
另一方面,与上个月被利用的漏洞相比,这个漏洞的紧迫性要小得多,因为没有证据表明它在黑客手中。Gowdiak说:“我们还没有发现任何利用这一漏洞的活跃攻击。”
虽然Gowdiak说他上周发现了新的Java漏洞,并花了周末创建并测试了一个概念验证漏洞,但他直到周二才向甲骨文报告了这个漏洞。在发给Computerworld的后续邮件中,Gowdiak说:“我们刚刚从甲骨文那里收到了关于这个问题的确认。”
该公司还告诉他,该漏洞将在未来的Java安全更新中修补,但没有指明是哪一个。下一款将于10月16日发布。
这也是Gowdiak解释他为什么要公开漏洞的原因之一——尽管没有技术细节——而不是私下向甲骨文报告,等待该公司悄悄给Java打补丁。他说:“距离预定的Java十月关键补丁更新(CPU)还有三周时间,所以Oracle可能会在(10月16日)设法解决这个bug。”
Gowdiak还表示,“为用户提供适当的警告只是我们的义务”,特别是考虑到上个月建议从Java 7转向当时安全的Java 6。
对于任何使用运行OS X 10.6 (Snow Leopard)或OS X 10.5 (Leopard)的Mac电脑的人来说,Java 6易受攻击的事实将会引起特别的兴趣。尽管苹果从2011年开始停止将Java与OS X捆绑在一起,但2009年的雪豹和2007年的Leopard都包含了这一软件。如果黑客自己发现了(或确实发现了)Gowdiak的漏洞,并在Oracle补丁发布之前利用它,那么雪豹和Leopard用户将面临风险,就像运行Lion或Mountain Lion的用户一样。
一些媒体昨天报道了最新的Java zero-day,这当然会给甲骨文带来一些压力,迫使其迅速采取行动。安全研究人员经常引用这一理由,在补丁发布之前就大肆宣传漏洞的存在。
高迪亚克对此也有自己的答案。
他说:“我们(发布)公开公告,这样用户就会意识到特定的软件或技术存在一些风险,并可以据此制定行动计划。”除了完全披露信息中的模糊描述外,他还拒绝透露更多关于漏洞本质的信息。
Gowdiak证实,他的概念验证漏洞对当前版本的Chrome、Firefox、Internet Explorer 9、Opera和Safari在Windows 7上使用的Java插件有效。
当Java漏洞或漏洞暴露时,几乎每个安全专家都会这么做,Gowdiak昨天敦促用户在浏览器中禁用该插件,直到Oracle发布补丁。
安全探索保持一个最新的帐户的漏洞,它报告给供应商,以及他们的反应,如果有任何网站.
禁用Java说明可在US-CERT(美国计算机应急准备小组)网站上找到。2020欧洲杯夺冠热门
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,或赞同格雷格的RSS提要.他的电子邮件地址是gkeizer@ix.netcom.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章“研究人员发现了另一个零日Java错误”最初是由《计算机世界》 .