[欢迎访问我的个人网站阅读更多内容:http://javafans.info Java爱好者 原创 专注]
上周,微软研究员Holly Stewart在其博客上指出最近Java频出安全漏洞问题,已经超越了Adobe Reader成为黑客首选的攻击目标。Stewart先生说到,大多数已知的Java安全漏洞都有对应的修复。特别是3个长久以来一直存在的问题,分别是与Oracle JVM相关的Calendar反序列化、长文件URL以及RMI连接问题,他们一直是黑客们攻击的主要目标。
安全研究员Brian Krebs在其博客上说到这些长久以来一直存在的漏洞会引起大规模的攻击,因为制作“攻击包”的黑客最近开始瞄准了这些漏洞。攻击包是预先配置好的软件,黑客们会向犯罪分子兜售这些攻击包。接下来当用户访问了被感染的站点后,这些犯罪分子就会控制用户的电脑。最好的攻击包拥有专业的查询管理与分析控制台,会告诉买家是否已经成功获得对用户计算机的访问权。Krebs先生的博客上将这些攻击包的控制台做了截屏,以此表明Java是深受黑客青睐的攻击目标。
所有这3个Java安全漏洞都已在今年3月得到了修复,其中一个甚至在去年4月就修复了。但报告指出很多电脑并没有打上修复补丁。很大比例的电脑还在运行着旧版本的Java。统计站点StatOwl检测出超过10%的用户还在使用着Java 1.4或1.5,而Oracle从去年开始就已经不再支持这两个Java版本了。即便使用Java 1.6,超过半数的电脑也没有打上相应的补丁。
电脑之所以没有升级是有很多原因的。通常,消费者并不知晓他们在使用着Java,更不用说使用的版本以及如何升级了。在企业中,桌面电脑通常需要使用旧版本的Java以支持没有升级的内部应用或是厂商应用。比如说,根据Oracle所述,如果Java 1.6升级到了update 22,那么“CVE-2010-3560修复就会导致运行在新的Java插件下的某些Java applet停止工作,因为如果网页包含了JavaScript,而它需要调用Java以执行某些需要网络安全许可的动作时会出现问题”。甚至连Oracle产品在每次Java小版本发布时都可能会出现问题,因此IT经理们要时刻保持警惕。与之类似,还在使用Java 1.5的遗留应用可能会成为受害者,因为Oracle从去年11月开始就不再支持Java 1.5了,只对Java for Business用户提供补丁程序。
本周,Oracle为JDK 1.6发布了update 22,它修复了29个安全问题,其中有些问题影响很大。由于JVM支持沙箱,因此Java开发者们经常认为他们的应用不会受到安全问题的困扰。但在字节码层次上,JVM实现本身仍然可以直接访问内存,并且可以使用非沙箱语言(如C语言)来实现。
查看英文原文:Researchers Highlight Recent Uptick in Java Security Exploits
[欢迎访问我的独立博客:Java爱好者阅读更多内容]
分享到:
相关推荐
Java反序列化漏洞探析及其修复方法研究.pdf
Java代码安全漏洞检测是指利用特定的工具和技术来检测Java应用程序中存在的安全漏洞。这些漏洞可能会导致应用程序被黑客攻击,...为了确保Java应用程序的安全性,开发人员需要定期进行漏洞检测,并及时修复发现的漏洞。
java web程序常见高危安全漏洞(如:SQL注入 、 XSS跨站脚本攻击、文件上传)的过滤和拦截处理,确保系统能够安全的运行
java jmx agent不安全的配置漏洞如何改进(由浅入深代码范例和详细说明).docx
Java反序列化漏洞利用集成工具
4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
一个GB文件,主要用于java语言源代码测试的依据。内容包括安全漏洞分类和每种漏洞的代码案例以及整改方案。
JAVA代码检查工具(开源) JAVA代码检查工具(开源) JAVA代码检查工具(开源) JAVA代码检查工具(开源) JAVA代码检查工具(开源)
检测javaRMI反序列化漏洞
Java语言的程序漏洞分析技术研究
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如... 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
信息安全已成为国家安全的关键环节,强化信息安全、保护用户数据...由于开发语言和程序设计的缺陷以及相关组件存在风险,Web应用中的信息安全漏洞问题时有发生,使得信息安全以及用户隐私和数据安全遭受到严重的威胁...
随着互联网应用的兴起, Java的类库越来越多, 导致反序列化漏洞的类型和数量都急剧上升。 Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, ...
javaWeb安全验证漏洞修复总结j,涉及到1.会话未更新。2.SQL注入,盲注。3已解密请求。4.跨站点请求伪造。5不充分账户封锁 等近10来个的问题解决心得
Java反序列化漏洞自动挖掘方法 AI 信息安全研究 可信编译 安全架构 信息安全
Java反序列化漏洞利用工具(joomla版本)亲测可用,直接GETSHELL以及执行命令没问题
Java Web开发常见问题.pdf
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。 JAVA反序列化漏洞 反序列化漏洞的...