研究人員揭露 Java 7 新漏洞，10年前的手法就可攻陷

Gowdiak並批評，如果甲骨文的Java SE有採用任何的軟體安全保證程序，就應該在Java SE 7發表前便解決Reflection API的缺陷，也應能杜絕10年前的攻擊手法，從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提，就是執行層面有問題。

波蘭資安業者Security Explorations周四（7/18）透過Full Disclosure揭露了Java SE 7中的安全漏洞，宣稱這雖然是個新發現的漏洞，但以10年前的技術就能攻陷。

Security Explorations執行長Adam Gowdiak表示，該漏洞允許駭客利用10年前便廣為人知的手法來攻擊Java虛擬機器，此類的威脅應該是在添增新功能至核心的虛擬機器時便應在第一時間防止的，更令人訝異的是在Java SE 7中的Reflection API並未採取應有的保護機制來防堵該攻擊。

Reflection API為一在包含Java等高階虛擬機器語言中非常普遍的技術，可用來檢查與修改物件在運行時的架構及行為。

Security Explorations已經打造出該漏洞的概念性攻擊程式，並證實可執行於Java SE 7 Update 25及之前的版本，將可入侵Java虛擬機器的基本功能。

Gowdiak並批評，如果甲骨文的Java SE有採用任何的軟體安全保證程序，就應該在Java SE 7發表前便解決Reflection API的缺陷，也應能杜絕10年前的攻擊手法，從該漏洞可合理懷疑要不是甲骨文的安全政策與程序不值一提，就是執行層面有問題。

從去年底開始，資安研究人員便不斷披露Java的安全漏洞，Facebook、蘋果及微軟都成為Java漏洞的受害者，還有不少業者建議使用者暫時關閉瀏覽器中的Java功能以避免受到影響，雖然甲骨文今年以來已多次釋出Java更新，然而Java的安全問題似乎仍未解決。（編譯/陳曉莉）
來源 ithome
====================================================
缺積分?? 缺碎鑽?? 缺鑽石?? 缺權限?? ...還是什麼都缺嗎?
可以參考以下兩篇 :
1. 共襄盛挙:結縁*随縁*感恩*惜福 APK.TW送給您\*伴手禮*/
2. 新會員必讀 ~升級密技~ 鑽石-任務-積分-權限-簽到-搜尋-發文
====================================================
歡迎大家踴躍加入 群組 內的 "九局棒棒歡樂新天地"/"香蕉卯上芭樂"和"韓流瘋"及" 爆爆遊樂園"不定期會有些小活動...歡迎踴躍參與...
====================================================
【其它小分享 福利帖】
(第216波大放送) : 人人回帖有獎勵
(第215波大放送) : 人人回帖有獎勵
(第214波大放送) : 人人回帖有獎勵
(第213波大放送) : 人人回帖有獎勵
(第212波大放送) : 人人回帖有獎勵
<如須查詢更多相關內容,請自行爬文>


★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
★                          **以上報告完畢**                          ★
★     如果可以的話,幫我評個分數或是送一多花給我^^          ★
★     您的評分與鮮花,是我下次再發帖的原動力                   ★
★                                 謝謝~                                   ★
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★

====================================================
                                                                                    2013/07/19 By 游幃翔