波兰安全研究公司Security Explorations上周五宣布,已向Oracle提交了两个新的Java漏洞以及概念证明代码,这表明在上周的修补后Java中仍然存在重大安全问题。在 “大曝光”(Full-Disclosure)安全邮件列表的帖子中,Security Explorations公司首席执行官Adam Gowdiak表示:“我们已经明确证实,最新版本的Java 7 Update 11发布后,仍然可以完全地绕过Java安全沙箱。”
在这一周内,Java的声誉严重受损,这是本周对Java的最后一个负面影响。在这周即将结束时,Java还受到其他大事件的冲击--卡巴斯基的安全研究人员宣布发现红色十月攻击(Red October)。以色列公司Seculert已经证实至少有一个先前确定的Java漏洞被用在在红色十月攻击代码库中。
根据Seculert博客文章透露:在对“红色十月”活动中使用的命令和控制服务器进行调查后,Seculert发现了一个特殊的文件夹,攻击者用它作为附加的攻击对象数组。这个攻击对象数组使攻击者发送有嵌入链接的电子邮件到特制的PHP网页,该网页利用了Java(CVE-2011-3544)中的漏洞。
该博客文章解释说,该漏洞在2011年就已经公诸于众,当在2012年2月被编译到Java JAR文件时,就已经不是什么新闻了,至少在理论上是这样。美国国土安全部一直建议用户禁用其电脑上的Java,即使Oracle发布了修复补丁。这个1月14日发布的更新称“很有可能会出现新的Java漏洞,为了抵御当前和未来的Java漏洞,您可以考虑禁用Web浏览器中的Java,直到出现全面的更新。”就在第二天,Security Explorations就“礼貌地”宣布发现 “未来Java漏洞”的其中两个。
对于那些禁用了Java的用户,有些人不愿意在太短时间内重新启用Java。Rapid7首席安全官兼Metasploit首席架构师HD Moore表示,“Oracle花了一年时间才解决了Security Explorations发现的部分特权升级问题,按这个速度,可能还需要两年时间才能完全将这类漏洞从代码库根除。”
Moore指出,Java的部分问题在于其沙箱版本有点老掉牙:“在设计该Java沙箱时,当时桌面用户面临的威胁完全不同。目前这一代沙箱(Chrome、Adobe、IE)部署更高级,它们限制了沙箱进程的活动,而不是试图在自身运行时间内加强所有逻辑。Java的沙箱仍然是以前的,只需要一个逻辑漏洞或者某种形式的内存损坏就可以在用户的环境内让网页运行代码。”他举出一个例子,虽然windows 8在浏览器安全方面得到了很大改进,仍然可能成为当前Java漏洞的“猎物”,并产生一个远程shell。
尽管有重大安全问题,专家表示,要求IT永远远离Java都是不可行的。Promisec联合创始人兼产品开发执行副总裁Hilik Kotler表示,建议简单地禁用关键软件工具是不可行的。“本周是Java出现安全问题,而两周之前是IE,两个月之前还是Adobe,”Kotler认为管理漏洞并不意味着改变员工习惯的工作环境。他建议禁用该软件“是当你没有合适工具时,最简单的解决方案”。
