Java零日漏洞威胁未除,最新Java7u11零日漏洞已在售卖

2013-01-18 87229人围观 ,发现 10 个不明物体 资讯

今日消息,国外知名安全博客Krebs表示收到消息,地下论坛已经在售卖最新版Java 7 Update 11零日漏洞。
周一的时候Oracle放出了紧急补丁,更新java到update11,以修复上周发现的零日漏洞。然而一个黑客论坛已经放出消息,要售卖针对最新版java(Java 7 Update11)的0day,并称该0day并未包含在任何漏洞利用包中,甚至Blackhole和Cool Exploit Kit。而且只会出售给两个人,价格为每人5000美元。内容包括未加密的漏洞利用代码,已加密版,以及已经制作成攻击工具版。售卖者表示接收竞价,价高者得。从公告判断已经有一人认购了,而随后Krebs发现在地下论坛原来的公告也消失了,怀疑已经出现第二个买家将漏洞买走了。

这次的售价并不算高,分析推测可能是该0day利用程度较难,或者由于已经有大量警告禁用java插件导致利用市场相对缩小。
无独有偶的是,在Oracle发布补丁不久后,著名安全漏洞检测工具公司Immunity确认,最新版java只修复了两个bug中的一个。blog中表示软件业者透过修补程序解决蠕虫/0day漏洞的时候,并不一定会去解决所有的相关问题,而他们仔细研究Java 7 update 11时发现,甲骨文只处理了当中一个漏洞,意味着另一个漏洞仍会被攻击;此一修补程序的确因解决其中一个问题而阻止了攻击程序,但了解Java的黑客在另一个零时差漏洞的协助下将能继续危害使用者。
这次Oracle公布的补丁修复了CVE-2012-3174和CVE-2013-0422两个漏洞,Immunity认为CVE-2013-0422并未得到修复。具体详见以下分析:
http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html

发表评论

已有 10 条评论

取消
Loading...
css.php