阅读更多

24顶
2踩

编程语言

原创新闻 Java 爆高危漏洞,7.x 分支全中招

2012-08-28 11:00 by 副主编 wangguo 评论(49) 有25072人浏览
据国外安全研究机构称,当前的Java版本中包含了一个严重的安全漏洞,可能导致电脑在访问带有恶意代码的特定网页时被感染。

据悉,该漏洞已经被黑客利用,目前仅是一些有针对性的攻击。但有一个漏洞已经开始流通,因此有可能不久就会出现一波大规模的攻击。

迄今为止,已知的有针对性的攻击是利用该漏洞安装Poison Ivy木马,这些恶意软件托管在位于新加坡的一台服务器上。

该漏洞影响了所有Java 7.x分支版本。在测试中,Windows系统中的所有主流浏览器都可能被利用并感染,其中也包括Chrome。据称,该漏洞也存在于苹果最新的Mountain Lion操作系统。

目前的应对方法是,系统中已安装Java的用户应该禁用浏览器插件,或者干脆移除掉Java插件,至少等到甲骨文公司发布补丁时再启用。当浏览器插件被禁用时,本地Java应用程序仍可以正常使用。

甲骨文公司尚未对这个漏洞发表评论,因此该漏洞是否已被修复还未知。根据计划,Java 7的下一版更新将于10月16日发布,届时可能会包含这一漏洞相关补丁。

Via TheH
24
2
评论 共 49 条 请登录后发表评论
49 楼 lliiqiang 2014-07-03 11:08
要控制危险在一定范围,但是不代表完全没有标准,只能是尽量.
48 楼 lliiqiang 2014-07-03 11:04
业务逻辑有漏洞,再好软件业没有希望,因为软件提供各种功能无法识别业务好坏。对于软件业务都是正确的除非事先声明好的操作
47 楼 lliiqiang 2014-07-03 11:02
不容易被执行或者发现能够挽回损失也行,这样程序攻击没有效果,价值不大.
46 楼 lliiqiang 2014-07-03 11:01
设计好逻辑,让攻击无意义,攻击也就没有作用了
45 楼 aiguoma 2013-01-12 13:43
quiii 写道
xiaohuafyle 写道
艹尼玛,漏洞赶紧修复,不然客户电脑中招我就没得消停了

。。。神奇啊 还真有升级到7的 还更新线上服务到版本7 我原以为只有初学者才下载最新版


我看你根本就没搞清楚java安全问题在哪儿,还好意思埋汰别人用jdk版呢,别在这丢人现眼了!
44 楼 sunliao_first 2012-08-30 14:39
java6呢
43 楼 cpszgy 2012-08-30 11:25
leiwuluan 写道
什么东西、没看明白。--是服务器  返回的网页中  调用java插件,加入恶意代码。访问的人也会被中招。 是这样吗、

其实就是applet本不该获得的系统权限,通过反射让权限修改了。结果。。。applet可以运行他想要运行的了。。。。
42 楼 damoqiongqiu 2012-08-30 10:26
Sam1860 写道
以客户端jre的装机量惊慌什么,flash装机量是jre几百万倍每个月出个高危漏洞都还没人惊慌,一堆程序猿在那里惊慌。。。

对,其实用户灰常淡定
41 楼 Sam1860 2012-08-30 09:15
以客户端jre的装机量惊慌什么,flash装机量是jre几百万倍每个月出个高危漏洞都还没人惊慌,一堆程序猿在那里惊慌。。。
40 楼 kkppccdd 2012-08-30 09:08
祇通過瀏覧器中的Java插件感染,祇做服務器端的路過~~
39 楼 Shen.Yiyang 2012-08-29 17:28
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
xiaohuafyle 写道
艹尼玛,漏洞赶紧修复,不然客户电脑中招我就没得消停了

。。。神奇啊 还真有升级到7的 还更新线上服务到版本7 我原以为只有初学者才下载最新版

这句话说的好像java旧版本没有漏洞一样。那篇新闻原文里也没推荐用旧版本。出bug,打补丁,软件更新一直都是这样,你以为你一直用旧版本就安全?
7. Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the  older versions of Java.

。。。我只是说 其实很少人升级到7 尤其线上系统

只是说 “很少人升到7”我也不会回复了,把用java7使用者和初学者等同才是我回你的原因。不要做一个不愿意学习新东西的人并找各种借口。

。。。你搞错了 即使是7新加入的特性 也是很陈旧的 只是在追其他语言平台 不要因为各种语法糖和奇怪的语法就觉得有什么新鲜事物 旧版本里的东西你又用过多少 jEE的各种规范你又熟悉多少

语法糖在JAVA7的更新里面才占了多少比重,你自己盯着语法糖才这么二吧
38 楼 tlde_ti 2012-08-29 12:19
quiii 写道
vuenchp 写道
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
xiaohuafyle 写道
艹尼玛,漏洞赶紧修复,不然客户电脑中招我就没得消停了

。。。神奇啊 还真有升级到7的 还更新线上服务到版本7 我原以为只有初学者才下载最新版

这句话说的好像java旧版本没有漏洞一样。那篇新闻原文里也没推荐用旧版本。出bug,打补丁,软件更新一直都是这样,你以为你一直用旧版本就安全?
7. Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the  older versions of Java.

。。。我只是说 其实很少人升级到7 尤其线上系统

只是说 “很少人升到7”我也不会回复了,把用java7使用者和初学者等同才是我回你的原因。不要做一个不愿意学习新东西的人并找各种借口。

。。。你搞错了 即使是7新加入的特性 也是很陈旧的 只是在追其他语言平台 不要因为各种语法糖和奇怪的语法就觉得有什么新鲜事物 旧版本里的东西你又用过多少 jEE的各种规范你又熟悉多少

请注意语境,我是在对谁说“新东西”,不在一定语境下讨论问题是无法交流并且没有意义的。在其它语言平台看起来很旧的东西但在java这里就是新的。而至于这个新的东西好不好,不花精力评论,我的观点还是“不要做一个找各种借口不愿意学习新东西的人”。而至于jee,不做讨论,只说一句话,"它不是我的菜".

。。。不用jee java完全无优势,你是oracle java7市场推广专员么

敢问大神你用jdk哪个版本?让我这个做了10年java用jdk7的新手瞻仰一些,1.1吗?

。。。好样的 又开一个小号

进行人身攻击,主观臆测,看来你是无法沟通的了,我放弃交流.
37 楼 hesy_007 2012-08-29 11:24
wcnjeusr 写道
纯粹扯淡 这年头谁还用applet

JIRA的在线截图组件就是用Applet做的
36 楼 quiii 2012-08-29 10:33
vuenchp 写道
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
xiaohuafyle 写道
艹尼玛,漏洞赶紧修复,不然客户电脑中招我就没得消停了

。。。神奇啊 还真有升级到7的 还更新线上服务到版本7 我原以为只有初学者才下载最新版

这句话说的好像java旧版本没有漏洞一样。那篇新闻原文里也没推荐用旧版本。出bug,打补丁,软件更新一直都是这样,你以为你一直用旧版本就安全?
7. Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the  older versions of Java.

。。。我只是说 其实很少人升级到7 尤其线上系统

只是说 “很少人升到7”我也不会回复了,把用java7使用者和初学者等同才是我回你的原因。不要做一个不愿意学习新东西的人并找各种借口。

。。。你搞错了 即使是7新加入的特性 也是很陈旧的 只是在追其他语言平台 不要因为各种语法糖和奇怪的语法就觉得有什么新鲜事物 旧版本里的东西你又用过多少 jEE的各种规范你又熟悉多少

请注意语境,我是在对谁说“新东西”,不在一定语境下讨论问题是无法交流并且没有意义的。在其它语言平台看起来很旧的东西但在java这里就是新的。而至于这个新的东西好不好,不花精力评论,我的观点还是“不要做一个找各种借口不愿意学习新东西的人”。而至于jee,不做讨论,只说一句话,"它不是我的菜".

。。。不用jee java完全无优势,你是oracle java7市场推广专员么

敢问大神你用jdk哪个版本?让我这个做了10年java用jdk7的新手瞻仰一些,1.1吗?

。。。好样的 又开一个小号
35 楼 vuenchp 2012-08-29 10:30
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
xiaohuafyle 写道
艹尼玛,漏洞赶紧修复,不然客户电脑中招我就没得消停了

。。。神奇啊 还真有升级到7的 还更新线上服务到版本7 我原以为只有初学者才下载最新版

这句话说的好像java旧版本没有漏洞一样。那篇新闻原文里也没推荐用旧版本。出bug,打补丁,软件更新一直都是这样,你以为你一直用旧版本就安全?
7. Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the  older versions of Java.

。。。我只是说 其实很少人升级到7 尤其线上系统

只是说 “很少人升到7”我也不会回复了,把用java7使用者和初学者等同才是我回你的原因。不要做一个不愿意学习新东西的人并找各种借口。

。。。你搞错了 即使是7新加入的特性 也是很陈旧的 只是在追其他语言平台 不要因为各种语法糖和奇怪的语法就觉得有什么新鲜事物 旧版本里的东西你又用过多少 jEE的各种规范你又熟悉多少

请注意语境,我是在对谁说“新东西”,不在一定语境下讨论问题是无法交流并且没有意义的。在其它语言平台看起来很旧的东西但在java这里就是新的。而至于这个新的东西好不好,不花精力评论,我的观点还是“不要做一个找各种借口不愿意学习新东西的人”。而至于jee,不做讨论,只说一句话,"它不是我的菜".

。。。不用jee java完全无优势,你是oracle java7市场推广专员么

敢问大神你用jdk哪个版本?让我这个做了10年java用jdk7的新手瞻仰一些,1.1吗?
34 楼 iwangxiaodong 2012-08-29 09:59
干掉applet吧,甲骨文!或者将Java跟Android合并好了.
33 楼 arong 2012-08-29 09:47
企业内部还有用Applet应用的,如Siemens PLM(2005)系统:(
32 楼 quiii 2012-08-29 09:25
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
xiaohuafyle 写道
艹尼玛,漏洞赶紧修复,不然客户电脑中招我就没得消停了

。。。神奇啊 还真有升级到7的 还更新线上服务到版本7 我原以为只有初学者才下载最新版

这句话说的好像java旧版本没有漏洞一样。那篇新闻原文里也没推荐用旧版本。出bug,打补丁,软件更新一直都是这样,你以为你一直用旧版本就安全?
7. Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the  older versions of Java.

。。。我只是说 其实很少人升级到7 尤其线上系统

只是说 “很少人升到7”我也不会回复了,把用java7使用者和初学者等同才是我回你的原因。不要做一个不愿意学习新东西的人并找各种借口。

。。。你搞错了 即使是7新加入的特性 也是很陈旧的 只是在追其他语言平台 不要因为各种语法糖和奇怪的语法就觉得有什么新鲜事物 旧版本里的东西你又用过多少 jEE的各种规范你又熟悉多少

请注意语境,我是在对谁说“新东西”,不在一定语境下讨论问题是无法交流并且没有意义的。在其它语言平台看起来很旧的东西但在java这里就是新的。而至于这个新的东西好不好,不花精力评论,我的观点还是“不要做一个找各种借口不愿意学习新东西的人”。而至于jee,不做讨论,只说一句话,"它不是我的菜".

。。。不用jee java完全无优势,你是oracle java7市场推广专员么
31 楼 remoteJavaSky 2012-08-29 09:07
http://code.google.com/p/ugate/这是最新的基于Java7(fx)的一个开源应用,很炫。

忘记Applet吧,在jdk8中,Swing相关的项目也已经停掉了,现在在极力开发openJFX8 以取代Applet Swing。
30 楼 tlde_ti 2012-08-28 23:43
quiii 写道
tlde_ti 写道
quiii 写道
tlde_ti 写道
quiii 写道
xiaohuafyle 写道
艹尼玛,漏洞赶紧修复,不然客户电脑中招我就没得消停了

。。。神奇啊 还真有升级到7的 还更新线上服务到版本7 我原以为只有初学者才下载最新版

这句话说的好像java旧版本没有漏洞一样。那篇新闻原文里也没推荐用旧版本。出bug,打补丁,软件更新一直都是这样,你以为你一直用旧版本就安全?
7. Although older Java is not vulnerable to this attack, downgrading is not recommended due to many other vulnerabilities in the  older versions of Java.

。。。我只是说 其实很少人升级到7 尤其线上系统

只是说 “很少人升到7”我也不会回复了,把用java7使用者和初学者等同才是我回你的原因。不要做一个不愿意学习新东西的人并找各种借口。

。。。你搞错了 即使是7新加入的特性 也是很陈旧的 只是在追其他语言平台 不要因为各种语法糖和奇怪的语法就觉得有什么新鲜事物 旧版本里的东西你又用过多少 jEE的各种规范你又熟悉多少

请注意语境,我是在对谁说“新东西”,不在一定语境下讨论问题是无法交流并且没有意义的。在其它语言平台看起来很旧的东西但在java这里就是新的。而至于这个新的东西好不好,不花精力评论,我的观点还是“不要做一个找各种借口不愿意学习新东西的人”。而至于jee,不做讨论,只说一句话,"它不是我的菜".

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • JSP+SERVLET注册登陆,用户密码加密程序

    一个简单的JSP+SERVLET注册登陆,用户密码加密程序.是一个学习jsp的小程序,给初学者参考的. 数据库是mssql2000

  • 常见的用户密码加密及破解方法

    这种表就是“预计算哈希链”。(4)特殊的单向HASH算法,由于单向HASH算法在保护密码方面不再安全,于是有些公司在单向HASH算法基础上进行了加盐、多次HASH等扩展,这些方式可以在一定程度上增加破解难度,对于加了“固定盐”的HASH算法,需要保护“盐”不能泄露,这就会遇到“保护对称密钥”一样的问题,一旦“盐”泄露,根据“盐”重新建立彩虹表可以进行破解,对于多次HASH,也只是增加了破解的时间,并没有本质上的提升。当然,对于已经泄露的密码,还是需要用户尽快修改密码,不要再使用已泄露的密码。

  • 密码学(Crypto)一些在线解密网站

    xssee:http://web2hack.org/xssee xssee:http://evilcos.me/lab/xssee 程默的博客(DES,3DES,AES,RC,Blowfish,Twofish,Serpent,Gost,Rijndael,Cast,Xtea,RSA):http://tool.chacuo.net/cryptdes 在线编码解码(多种并排):http://bianma...

  • 加密与解密

    对称加密,就是加密和解密使用同一个密钥。(密钥的保密性至关重要)常见的有 AES、DES、3DES、Blowfish 等。

  • 前后端登录的密码加密和解密

    salt 盐,每一个用户在注册的时候随机生成一个盐,在做用户明文登录,转换成二次加密,然后根据用户的盐在进行一次加密保存到数据库,这样即使数据库被袭击,用需要大量时间来破解密码。在一个典型的前后端应用中,前端对密码进行加密后传给后端,后端再进行解密或验证。这通常涉及前端加密、后端解密或验证的相互配合。后端收到加密后的密码后,不进行解密,而是对密码进行相同的加密(使用相同的哈希函数或加密算法和密钥),然后与数据库中存储的加密后密码进行比对。前端可以使用各种加密库或算法对密码进行加密。

  • crypto在线解密工具【持续学习更新...】

    例:094F5A0F0A0D1805103B0B3D143117183B720438350A45550967674D1E064F2969784440455A460F1A1B。密文:Z Y X W V U T S R Q P O N M L K J I H G F E D C B A。例:明文:A B C D E F G H I J K L M N O P Q R S T U V W X Y Z。(1)例:Zhofrph wr FWIvkrz yhjhwdeoh grj fxs!凯撒密码 位移数 1++

  • 一个在线的文件密码破解网站( rar文件、zip文件、pdf文件、ppt文件、xls文件)

    不知你曾经是否费心费力终于找到你所需要的资源,却发现压缩文件而你却没有权限获取密码? 不知你曾经是否粗心大意忘记了自己为了安全而加密的办公文件? 不知你曾经是否下载了不错的学习资料却没有解压密码? 总之,在生活、学习、工作中,我们或多或少的会遇到因为没有密码而无法打开文件的苦恼。一次偶然的机会,找到了一个可以在线破解的网站,是免费的哦,而且无需各种注册,直接提交就可以在线破解。特

  • 常见的用户密码加密方式以及破解方法

    【作者】张辉,就职于携程技术中心信息安全部,负责安全产品的设计与研发。 作为互联网公司的信息安全从业人员经常要处理撞库扫号事件,产生撞库扫号的根本原因是一些企业发生了信息泄露事件,且这些泄露数据未加密或者加密方式比较弱,导致黑客可以还原出原始的用户密码。目前已经曝光的信息泄露事件至少上百起,其中包括多家一线互联网公司,泄露总数据超过10亿条。 要完全防止信息泄露是非常困难的事情,除了防止黑客外,还要防止内部人员泄密。但如果采用合适的算法去加密用户密码,即使信息泄露出去,黑客也无法还原出原始的密码(或者还

  • 常见加密和解密方法介绍。

    介绍常见的加密和解密方法。常用的加密当时有三种分别是:对称加密:指数据加密和解密使用相同的密钥 数据的机密性: DES,AES非对称加密:也叫公钥加密,指数据加密和解密使用不同的密钥 密钥对儿 身份验证 DSA,RSA单向加密:指只能加密数据,而不能解密数据 数据的完整性 MD5,SHA系列算法。

  • 在线加密解密网站大全2022(更新中ing)

    加密解密网站查询

  • 网络安全基础:加密与解密技术实验

    加密是将明文(可读格式的信息)转换为密文(加密后的信息)的过程,以防止未授权的用户访问。解密是将密文转换回原始的明文,使得信息可以被授权用户正常阅读和使用。加密和解密是网络安全中不可或缺的技术。通过本文的实验,希望读者能更好地理解其工作原理及其在实际场景中的应用。随着技术的发展,选择合适的加密算法和安全地管理密钥将变得越来越重要。

  • 【kali-密码攻击】(5.1.2)密码在线破解:Medusa

    【kali-密码攻击】密码在线破解:Medusa

  • 五种常见的加密方式及常用的加解密工具

    如果你是互联网公司的信息安全从业者,那么你可能会经常需要处理撞库事件,撞库是黑客的无聊“恶作剧”。黑客收集已经在互联网上泄露的用户和密码信息,生成对应的字典表,并尝试批量登录其他网站,然后得到一系列可以登录的用户。撞库的根本原因是一些公司发生了信息泄露事件,而且泄露的数据没有加密或者加密方式比较弱,这样黑客就可以还原出原来的用户密码。可见,密码加密并不是简单加密就行的,对于密码加密的重要性就不用过的赘述了,相信大家都了解。...

  • 登入记住用户名和密码时对用户名和密码进行加密和解密

    encryption.js的下载链接:https://download.csdn.net/download/lijianfengxiaoli/10676945 <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title></title> &amp

  • 维吉尼亚密码加密/解密在线工具

    维吉尼亚密码加密/解密在线工具,工具链接:http://www.atoolbox.net/Tool.php?Id=856 维吉尼亚密码是在凯撒密码基础上产生的一种加密方法,它将凯撒密码的全部25种位移排序为一张表,与原字母序列共同组成26行及26列的字母表。另外,维吉尼亚密码必须有一个密钥,这个密钥由字母组成,最少一个,最多可与明文字母数量相等。 维吉尼亚密码加密方法示例如下: 明文:I'v...

  • 【转载】20款密码破解工具

    20款密码破解工具,觉得好就顶吧没有密码不用急!20种超全的解密工具任你选!!值得下载珍藏的呀!! 以下含扩了从系统密码到应用软件、最高深的BIOS到最常见的ZIP、RAR压缩文件几乎所有的密码解读、解密工具(共计190条),以方便大家使用。 唯有一点请朋友们切记:不要将这些超级解密工具用于非法的或有损他人利益的情况!! -----------------------------------...

  • thinkphp 对数据库会员表的某几个字段进行数据加密解密。

    前几天经理突然说我有个注意,我们把我们客户的数据库里的几个主要字段进行加密吧,防止别人通过非法手段获取数据库后对客户有影响。 说做就做,我们初始决定对会员表的手机、身份证、银行卡号进行加密。 在会员生成保存数据库的时候,我们手动的把这3个字段通过加密保存到数据库里。会员表是inkks_users 加密方法是在网上找的,支持通过特殊字符串进行加密解密。在公共函数文件里添加了4个方法。 //数...

Global site tag (gtag.js) - Google Analytics