http://www.zdnetasia.com/news/security/0,39044215,62028389,00.htm
By Liam Tung, ZDNet Australia Friday, July 13 2007
Google 的安全小組在 Sun Java Runtime Environment 當中發現弱點,那將威脅所有平台、瀏覽器甚至是行動裝置。
"事情就是這麼糟," Chris Gatford 說,來自於滲透測試公司 Pure Hacking 的安全專家。
"那是一個相當重大的缺點,如果 exploit 程式很快有結果的話,將會產生相當大的衝擊。它將影響許多組織與使用者," Gatford 表示。
AusCERT 分析師 Robert Lowe 警告,任何使用 Java Runtime Environment (JRE)或 Java Development Kit(JDK) 的人都有危險。
"要經由此法遞送 exploits 對於攻擊者來說相當具有吸引力,因為即使瀏覽器經過全面修補,某些人還是會忽略掉修補那些會被瀏覽器呼叫,以呈現某些特定內容程式," Lowe 說。
根據 Gatford,這些臭蟲會威脅幾乎是每樣現代裝置。
"Java 可在任何東西上執行:手機、PDAs,與 PCs。當你在某些如此模組化的東西出了紕漏,就會是個問題 -- 它可以影響很多不同類型的裝置。"
"同樣地,這個 exploit 在呼叫一個有弱點的 JRE 時,也是獨立於瀏覽器," Gatford。
Gatford 表示,該問題會因為企業修補 JRE 漏洞的機會渺茫而更加惡化。
"想要透過組織化的嘗試來修補遍及整個企業的 Java Runtime 將會是件相當困難且費力的程序," 他說。
※ JRE 或 JDK 在部署或移除上不怎麼方便,之前的版本若沒刻意整理,還是會留在系統上。這二個漏洞的內容如下,目前 Sun 已經證實修補完畢,只要安裝最新版的 Java SE 6 update 2 即可。
* Sun says Java flaw has been patched | CNET News.com(節錄)
http://news.com.com/2100-1002_3-6196493.html
One flaw demonstrated in Evans' advisory shows an integer
overflow in a JPEG image. Documented in CVE-2006-2788, this
affects Sun Java Development Kit (JDK) before versions
1.5.0_11-b03, 1.6.x and 1.6.0_01-b06.
A second demo shows a local file being opened via the BMP image
parser. This was documented in CVE-2006-2789 and affects Sun Java
Development Kit (JDK) before versions 1.5.0_11-b03, 1.6.x and
1.6.0_01-b06 on Unix and Linux systems.
Sun spokeswoman Jacki DeCoster recommends that consumers go to
Java.com and download Java SE 6 update 2, installing the latest
version of the Java Runtime Environment. Additional information
about the specific patches related to these vulnerabilities can
be found on the company's SunSolve site.
Environment Image Parsing Code May Allow a Untrusted Applet to
Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102934-1
* QuickTime 處理 Java 漏洞危及瀏覽器
* Firefox 與 IE URI handler 出現問題