Java惊现0day漏洞，Oracle紧急升级

8月中旬Oracle刚刚发布了Java 7u6和6u34版本，但短短半个月时间之后的8月30日，Oralce紧急发布了新版本的JDK和JRE，原因是发现了一个严重的0day漏洞CVE-2012-4681，远程攻击者可以通过它绕开SecurityManager的限制执行代码，但服务器端和桌面端的Java程序不受该漏洞影响。

FireEye于8月26日在网上发布了该漏洞的信息，随后NIST也发出了警告并进行了一些说明——在Java 7u6和6u34及之前的版本上，攻击者可以通过如下手段绕开SecurityManager的限制：

使用com.sun.beans.finder.ClassFinder.findClass并利用forName方法从任意包访问受限类（例如sun.awt.SunToolkit），随后利用getField方法就能访问并修改私有成员属性了

攻击者就是通过getField方法取得运行java.beans.Statement所需的权限，覆盖该权限，允许运行所有代码，在Statement关闭SecurityManager后，Applet就能“为所欲为”了。

赛门铁克的说明中表示，他们发现攻击者至少从8月22日起就已经通过该漏洞发动攻击了，并定位了两个提供恶意软件的站点，下载到的恶意软件经鉴定为Trojan.Dropper。

国内的Freebuf在分析恶意代码时发现了其中有这样一段代码，即“我有一只小毛驴，从来也不骑”。

String k1 = "woyouyizhixiaomaol"; String k2 = "conglaiyebuqi"; 

如果您对该漏洞的细节感兴趣，可以阅读DeepEnd Research的这篇分析。建议在浏览器中使用Java的同学立刻将自己的Java升级到7u7或6u35版本。