java - Java 7 Update 10 中的零日安全漏洞

Question

我在 1 月 11 日和 1 月 13 日阅读了有关Java 7 Update 10 中的零日安全漏洞的技术文章，并在 1 月 13 日得知 Oracle 已针对相同的漏洞发布了补丁更新 11。但所有的新闻都只是包含肤浅的数据。

谁能解释一下漏洞是什么以及修复方法是什么？

Answer 1

AFAIK，在 Java 7 的 MethodHandle 本机代码中有一个具有“中”级安全模型的小程序存在一个错误，它允许您取消设置 SecurityManager，即使您已经有一个。这有效地使您可以访问本地程序。它将具有与进程相同的访问权限

如果您的安全级别是推荐和默认的“高”，则不会发生这种情况。

即您必须首先降低您的安全级别，但该错误将其降低到低于应有的水平。;)

Answer 2

可以在这里找到分析：

https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf

归结为sun.reflect.Reflection.getCallerClass(int)没有正确处理新引入的​​反射 API。

Answer 3

你可以阅读它......发行说明

http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

可以在 http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html找到错误描述