Oracle Java 7 JmxMBeanServer类远程代码执行漏洞

漏洞版本:

Oracle Java 7 Update 10

漏洞描述:

Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。



Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞使得远程攻击者可以绕过java securityManager的检查远程执行任意java代码控制用户系统。



目前已知受影响环境为最新版本Oracle JRE7 update 10及其更早版本。经测试Oracle Java 6不受影响。

<* 参考

http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html 
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html?m=1 
http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/ 
http://secunia.com/advisories/51820/ 
http://www.kb.cert.org/vuls/id/625617 
http://www.nsfocus.net/index.php?act=alert&amp;amp;do=view&amp;amp;aid=131 
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

*>

安全建议:

临时解决方法：



如果您不能立刻安装补丁或者升级，建议您采取以下措施以降低威胁：



* 在浏览器中暂时禁用Java



  参考：http://krebsonsecurity.com/how-to-unplug-java-from-the-browser/



对于Windows用户:



1) Firefox



  工具->附加组件(Ctrl-Shift-A)->插件，将所有带有Java字样的禁用，重启Firefox。



  安装NoScript扩展，NoScript选项->嵌入的对象->禁止Java



2) Chrome



  点击右上角的扳手->设置->点击最下面的"显示高级设置"->隐私设置->内容设置->插件

  ->停用单个插件->Java->停用



3) IE



  如果您已经升级到JRE 7 update 10可以利用它新增的一个安全特性来禁用JAVA。

  打开控制面板，搜索Java，在java控制面板中选择"安全"，然后清空"Enable Java

  content in the browser"的复选框。

  http://www.java.com/en/download/help/disable_browser.xml



  对于JRE 7 update 10以下的版本：



  控制面板->Java->Java->查看->用户->禁用所有版本的JRE(Java运行时环境)



  控制面板->Java->Java->查看->系统->禁用所有版本的JRE(Java运行时环境)



  但是这一方法只适用于XP、2003，不适用于Vista、Win7等高版本的Windows，你无法清

  空相应的启用复选框。此时需要使用regedit修改注册表。



  这个注册表键值位于:

--------------------------------------------------------------------------

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in]



[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in\<版本号>]

"UseJava2IExplorer"=dword:00000001

--------------------------------------------------------------------------

  所有版本的Java都有一个UseJava2IExplorer，其值缺省为1，修改成0即可禁用Java。





  如果是64位系统也安装了32位Java的话，相关注册表键值位于:



--------------------------------------------------------------------------

Windows Registry Editor Version 5.00



[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in]



[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\<版本号>]

"UseJava2IExplorer"=dword:00000001

--------------------------------------------------------------------------



厂商补丁：



Oracle

------

Oracle已经发布了针对该漏洞的补丁Java 7 update 11和相关安全公告：

http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html



建议Java用户尽快安装最新的升级包。



对于Windows 用户，首先您应当在控制面板->添加或删除程序(Win7下是控制面板->程序->程序和功能)中确认您是否已经安装java，以及安装的版本，例如是JDK还是JRE，是32位还是64位。如果您尚未安装Java,则不必继续下面的操作。



对于java开发人员，可以从下列链接手工下载最新的Java SE JDK 7和 JRE 7：

http://www.oracle.com/technetwork/java/javase/downloads/index.html



对于通过浏览器使用Java SE的普通用户，可以直接访问http://java.com ，根据提示信息下载最新的java JRE。如果您在使用64位Windows系统，您可能需要分别使用32位和64位的浏览器来访问java.com以分别下载32位和64位的JRE。