Java惊现0day漏洞，Oracle紧急升级

8月中旬Oracle刚刚发布了Java 7u6和6u34版本，但短短半个月时间之后的8月30日，Oralce紧急发布了新版本的JDK和JRE，原因是发现了一个严重的0day漏洞 CVE-2012-4681，远程攻击者可以通过它绕开SecurityManager的限制执行代码，但服务器端和桌面端的Java程序不受该漏洞影响。

FireEye于8月26日在网上发布了该漏洞的信息，随后NIST也 发出了警告并进行了一些说明——在Java 7u6和6u34及之前的版本上，攻击者可以通过如下手段绕开SecurityManager的限制：

使用com.sun.beans.finder.ClassFinder.findClass并利用forName方法从任意包访问受限类（例如sun.awt.SunToolkit），随后利用getField方法就能访问并修改私有成员属性了

攻击者就是通过getField方法取得运行java.beans.Statement所需的权限，覆盖该权限，允许运行所有代码，在Statement关闭SecurityManager后，Applet就能“为所欲为”了。

赛门铁克的 说明中表示，他们发现攻击者至少从8月22日起就已经通过该漏洞发动攻击了，并定位了两个提供恶意软件的站点，下载到的恶意软件经鉴定为 Trojan.Dropper。

国内的 Freebuf在分析恶意代码时发现了其中有这样一段代码，即“我有一只小毛驴，从来也不骑”。

   String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi"; 

如果您对该漏洞的细节感兴趣，可以阅读DeepEnd Research的这篇 分析。建议在浏览器中使用Java的同学立刻 将自己的Java升级到7u7或6u35版本。

丁雪丰 是InfoQ中文站编辑，满江红翻译组核心成员，出版过《Spring攻略》、《JRuby实战》等多部译著。主要关注领域：企业级应用、海量数据计算、动态语言应用等。

相关厂商内容

Amazon五星敏捷图书作者、敏捷教练Amr Elssamadisy确认参加2012QCon杭州！

腾讯Web前端团队TAT(Tencent Alloy Team)负责人屈超确认参加2012QCon杭州！

去哪儿网自动化测试专家，《自动化软件测试实施指南》译者余昭辉确认参加2012QCon杭州！

天翼空间借力windows phone 8，帮广大开发者赚钱！

白皮书下载：利用您的私有或混合云加速业务成果

相关赞助商

QCon杭州2012大会10月25~27，9月15日前报名享受8折优惠， 5人以上团购享有更多优惠！