一名研究人员周日宣布,Java的新安全设置旨在阻止“驱动式”浏览器攻击,黑客可以绕过它。
这一消息是在几起令人尴尬的“零日”漏洞之后发布的Java安全主管最近的承诺他的团队会修复软件中的漏洞。
可以规避的Java安全条款如下介绍了去年12月并让用户决定哪些Java applet可以在他们的浏览器中运行。四种设置中最严格的一种应该是阻止任何没有使用有效数字证书签名的applet。其他设置允许大多数无签名applet,只在Java本身是最新的情况下执行无签名applet,或者在允许无签名applet运行之前显示警告。
但据Security Explorations的首席执行官亚当·高迪亚克(Adam Gowdiak)说,没有一种设置可以阻止攻击者。
“我们发现……是无符号Java代码可以在目标Windows系统上成功执行,不管这四个Java控制面板设置。Bugtraq邮件列表。
在周日回复问题的电子邮件中,Gowdiak说,有一个漏洞可以让这条旁路成为可能。无论用户在Java控制面板中设置的安全级别如何,它都可以用于在目标系统上成功启动未签名Java代码。‘高’或‘非常高’的安全(设置)在这里并不重要,代码仍然可以运行,”他说。
发现该漏洞后,godiak创建了一个概念验证漏洞,可用于运行在Windows 7上的Java 7 Update 11(两周前发布的版本),并向Oracle报告了该漏洞。
他的发现使得甲骨文最新的安全更改——至少在理论上——变得毫无意义。当它1月13日发布了紧急更新消除两个关键的Java浏览器插件漏洞,包括一个被网络犯罪分子积极利用,Oracle也自动将Java重置为“高”安全级别.在这种设置下,Java会在用户运行unsigned applet之前通知用户。
虽然没有证据表明黑客利用了这个最新的漏洞,但Gowdiak暗示说,这对他们来说并不困难。Gowdiak说:“这应该被看作是甲骨文的一次重大失误。”“我们真的很惊讶地发现,绕过这些新的安全设置是多么微不足道。”
黑客们已经加强了对Java及其浏览器插件的攻击,一些安全公司估计他们占了所有试图攻击的一半以上。最常见的是,Java的漏洞被用来进行“驱动式”攻击,或者在用户浏览到受攻击或恶意网站后,在pc和mac上安装恶意软件。
Gowdiak发表声明的几天前,甲骨文刚刚公布了一段电话会议的录音,通话内容是负责Java安全的高级首席产品经理米尔顿•史密斯(Milton Smith)和Java用户组负责人讨论了最近的漏洞和甲骨文正在采取的措施。
在通话中,Smith吹嘘了Java 7的安全增强,包括在更新10中引入了设置,以及在更新11中将默认值从“中等”更改为“高”。“(它们)有效地使未签名的applet不会在没有警告的情况下运行,”Smith谈到安全设置时说。“我们看到的一些事情是无声的漏洞,人们点击电子邮件中的一个链接,在不知情的情况下危及机器。但现在这些功能真的阻止了。即使Java确实存在漏洞,也很难悄无声息地加以利用。”
据Gowdiak所说,这正是最新的漏洞可以让攻击者做的事情。Gowdiak在Bugtraq上写道:“最近对Java 7进行的安全改进根本无法阻止无声的漏洞。
当被问及必须在浏览器中运行Java的用户应该如何保护自己免受可能的攻击时,Gowdiak重申了他之前的建议,即人们应该转向带有“点击播放”功能的浏览器,该功能迫使用户明确授权插件的执行。Chrome和Firefox都包含点击播放功能。
Gowdiak说:“这可能有助于防止自动和无声地利用已知的、尚未解决的Java插件漏洞。”
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer,在谷歌+或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
看到Gregg Keizer在Computerworld.com报道.
阅读更多关于恶意软件和漏洞的信息在计算机世界的恶意软件和漏洞主题中心。
这篇文章,“新的bug使Java最新的反利用防御理论,研究者声称”,最初发表于《计算机世界》 .