WhiteHat News #ID:86
WhiteHat Support
-
04/06/2014
-
4
-
33 bài viết
Oracle phát hành lại bản vá lỗ hổng cho phép thực thi mã từ xa trong Java
Hôm qua, Oracle phát hành bản vá khẩn cấp cho một lỗ hổng trong nền tảng Java do không được vá hoàn chỉnh vào năm 2013.
Hai tuần trước, các nhà nghiên cứu của Security Exploration (Phần Lan) phát hiện bản vá cho lỗ hổng CVE-2013-5838 trong Java mà công ty này phát hiện vào năm 2013 vẫn có khả năng bị khai thác, cho phép tin tặc thực thi mã từ xa và vượt qua cơ chế sandbox của Java.
Trong bản tin an ninh của mình, Oracle không đưa ra nhiều thông tin về điều này, mà khuyến cáo người dùng nhanh chóng cập nhật bản vá. Java SE Update 97, Java 8 Update 73 và 74 cho các hệ điều hành Windows, Mac OS X, Linux và Solaris đều bị ảnh hưởng. Adam Gowdiak, nhà sáng lập Security Exploration cho biết bản vá vừa phát hành đã khắc phục hoàn toàn lỗ hổng trên.
Security Exploration công bố thông tin chi tiết về lỗ hổng này tại hội nghị JavaLand. Theo chính sách mới của công ty này, nếu phát hiện một bản vá chưa hoàn chỉnh cho các lỗ hổng mà công ty này đã thông báo đến nhà cung cấp, thì công ty có thể công bố phát hiện mà không cần thông báo trước.
Gowdiak cho biết lỗ hổng là do thực thi Reflection API không an toàn dẫn đến nguy cơ tấn công các máy ảo Java thông qua class-spoofing. Việc khai thác khá dễ dàng, chỉ cần thay đổi bốn kí tự trong mã proof-of-concept trước đây là có thể vượt qua các cơ chế bảo vệ sandbox trong Java.
Theo Threatpost
Hai tuần trước, các nhà nghiên cứu của Security Exploration (Phần Lan) phát hiện bản vá cho lỗ hổng CVE-2013-5838 trong Java mà công ty này phát hiện vào năm 2013 vẫn có khả năng bị khai thác, cho phép tin tặc thực thi mã từ xa và vượt qua cơ chế sandbox của Java.
Trong bản tin an ninh của mình, Oracle không đưa ra nhiều thông tin về điều này, mà khuyến cáo người dùng nhanh chóng cập nhật bản vá. Java SE Update 97, Java 8 Update 73 và 74 cho các hệ điều hành Windows, Mac OS X, Linux và Solaris đều bị ảnh hưởng. Adam Gowdiak, nhà sáng lập Security Exploration cho biết bản vá vừa phát hành đã khắc phục hoàn toàn lỗ hổng trên.
Security Exploration công bố thông tin chi tiết về lỗ hổng này tại hội nghị JavaLand. Theo chính sách mới của công ty này, nếu phát hiện một bản vá chưa hoàn chỉnh cho các lỗ hổng mà công ty này đã thông báo đến nhà cung cấp, thì công ty có thể công bố phát hiện mà không cần thông báo trước.
Gowdiak cho biết lỗ hổng là do thực thi Reflection API không an toàn dẫn đến nguy cơ tấn công các máy ảo Java thông qua class-spoofing. Việc khai thác khá dễ dàng, chỉ cần thay đổi bốn kí tự trong mã proof-of-concept trước đây là có thể vượt qua các cơ chế bảo vệ sandbox trong Java.
Theo Threatpost