我在 1 月 11 日和 1 月 13 日阅读了有关Java 7 Update 10 中的零日安全漏洞的技术文章,并在 1 月 13 日得知 Oracle 已针对相同的漏洞发布了补丁更新 11。但所有的新闻都只是包含肤浅的数据。
谁能解释一下漏洞是什么以及修复方法是什么?
问问题
275 次
3 回答
3
AFAIK,在 Java 7 的 MethodHandle 本机代码中有一个具有“中”级安全模型的小程序存在一个错误,它允许您取消设置 SecurityManager,即使您已经有一个。这有效地使您可以访问本地程序。它将具有与进程相同的访问权限
如果您的安全级别是推荐和默认的“高”,则不会发生这种情况。
即您必须首先降低您的安全级别,但该错误将其降低到低于应有的水平。;)
于 2013-01-15T09:32:01.460 回答
1
可以在这里找到分析:
https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf
归结为sun.reflect.Reflection.getCallerClass(int)没有正确处理新引入的反射 API。
于 2013-01-15T09:50:28.587 回答
1
你可以阅读它......发行说明
http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
可以在 http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html找到错误描述
于 2013-01-15T09:33:00.540 回答