Java Installer Flaw显示为什么要清除下载文件夹
在大多数计算机上,默认下载文件夹快速成为旧的和未经组织文件的存储库,然后忘记了。java安装程序中最近修复的漏洞突出显示为什么保留此文件夹清洁很重要。
星期五,Oracle发布了一个安全咨询,建议用户删除所有Java安装程序,他们可能在其计算机上铺设,并为第6U113,7u97,80073或更高版本使用新的Java安装程序。
原因是较旧的Java安装程序旨在寻找并自动加载来自当前目录的特定名为DLL(动态链接库)文件。在从Web下载的Java安装程序的情况下,当前目录通常是计算机的默认下载文件夹。
如果攻击者设法将专门命名的恶意DLL放入计算机“下载”文件夹中,则当用户第一次安装Java或者当他手动更新现有的Java安装时,将执行该文件,或者在手动下载和运行时,将执行该文件一个新的安装程序。
“虽然被认为是相对复杂的利用,但如果成功剥削了毫无戒心的用户系统的完全妥协,则可能会导致这种漏洞,”博客文章中的Oracle“软件安全保障总监”Eric Maurice表示。
这种攻击技术称为二元种植,并已知一段时间。在过去的几年里,发现许多软件安装人员都很容易受到影响。
“如果在推出任何安装人员时启动流程监视器并观察下载文件夹中的活动,您将找到一系列加载各种DLL的一系列尝试,”Acros Security的研究人员在2012年2月的博客帖子中表示。“毫不奇怪:这是图书馆加载作品的方式(首先尝试在同一个文件夹中找到DLL),在大多数情况下,由于大多数托管前的文件夹不是攻击者,它不是一个安全问题。但是,下载文件夹是 - 无论如何。“
一些浏览器是康复自动下载文件,即使他们不执行它们。此外,清除浏览器的下载列表只清空下载历史记录。它实际上并不删除下载的文件。
它并不难以想象一种地毯轰炸攻击,其中恶意或受感染的网站专门为用户上的DLL文件丢弃“计算机上的电脑稍后将由易受攻击的安装程序执行。为避免这样的内容,请定期清洁下载文件夹本身。