Sun 公司使Java在不同浏览器和操作系统上运行的插件中存在一处安全缺陷,能够使病毒在运行Windows 和Linux 的PC间传播。
芬兰的安全研究人员在6 月份就发现了该缺陷,Sun 在上个月也发布了相应的补丁软件,但有关该缺陷的详细资料在本周二才被公诸于众。安全信息提供商Secunia 公司在发布的安全公告中认为该缺陷是“高度危急”。
该Java插件能够使名为applets 的互联网应用程序在用户的计算机上安全地运行,但这一安全缺陷能够使恶意网站绕过安全机制,通过浏览器“接触到”用户的PC。Pynonnen 在接受电子邮件采访时说,它能够使黑客提供的代码在无需用户交互的情况下在计算机上运行。他还指出,相同的恶意代码可以用来攻击不同的操作系统和浏览器。该缺陷能够被用来攻击Windows 或Linux 、IE等主流浏览器软件的系统,这意味着相当大数量的系统都容易受到攻击。
Pynnonen在本周二发表的公告中说,黑客可以利用该缺陷对用户的计算机进行任何操作,其中包括浏览、修改或运行文件、在用户的计算机上传更多的代码、发送有关用户系统的资料。
尽管主流浏览器中都存在大量的安全问题,但这一缺陷对于Java技术的安全而言,却是一个罕见的丑闻。Java的设计目标就是在不同的平台上安全地运行从互联网上下载的小软件。但是,该缺陷使得javascript代码能够执行本不应该执行的功能。
在上周公布Solaris 10的详细资料时,Sun 的总裁乔纳森表示,Java还没有遭遇过病毒。但是,这一安全缺陷使病毒能够利用Java插件感染系统。10月份,手机版Java插件中的一处安全缺陷就使人们担心,恶意代码可能伪装成有用的程序,对手机发动攻击。
与IE中的iFrame缺陷相似,该Java缺陷使恶意网站能够在用户的PC上下载和执行代码,危及PC的安全。Pynnonen在一封电子邮件中说,它可以被方便地用来传播病毒和其它恶意代码。恶意代码本身不大容易被嵌入电子邮件中,因为电子邮件中的Java applets不会自动执行,但是,电子邮件中可能包含有指向恶意网站的链接。
尽管Sun 没有猜测黑客会如何利用该缺陷,但它表示,它正在为所有的用户开发补丁软件。Sun 的一名代表本周二表示,我们对这一问题非常认真,正在开发相应的补丁软件。
Sun 、Secunia 以及Pynnonen都没有表明这一缺陷是否会影响到苹果公司的Mac OS X操作系统。Sun 的这名代表指出,它正在对这一问题进行调查。
|