在研究人员旁路旧补丁后,紧急Java更新修复了两岁的缺陷
Oracle已发布紧急Java安全更新,以修复一个关键漏洞,可能允许攻击者在访问特制的网站时损害计算机。
该公司已将CVE-2016-0636分配为漏洞的标识符,这表明它是今年发现的新缺陷,但这并不是真正的情况。
波兰安全公司安全探索通过电子邮件确认,新的Java更新实际上修复了该公司在2013年最初向Oracle报告的漏洞的破坏性补丁。
本月早些时候,安全探索宣布,Oracle于2013年10月发布的修补程序以CVE-2013-5838跟踪的关键漏洞是无效的,并且可以通过在原始漏洞中仅改变四个字符来逐渐绕过。这意味着漏洞在最新版本的Java中仍然可以利用。
安全探索研究人员发布了详细的技术报告,其中他们在未提前联系甲骨文的情况下描述了旁路。他们说,公司不再容忍破坏的供应商修复,并将公开揭示他们。
Oracle似乎决定将安全探索物“旁路技术作为一个完全新的漏洞。在其安全警报周三发布,公司向旧CVE-2013-5838缺陷或波兰安全公司的发现发布。
但是,它指出,客户应该尽快安装新的Java更新,因为缺陷的持续性和“技术细节公开披露”。“
建议Java SE 8用户安装新发布的Java SE 8更新77(8U77)。Java 6和7的安全更新仅适用于具有长期支持合同的客户,因为这些版本不再被公开支持。
“在Java SE 8更新下完成的快速测试77揭示了补丁确实阻止了我们的概念代码证明,”安全探索的创始人兼首席执行官通过电子邮件说明了adamGowdiak表示。“修复程序主要应用于Sun.Invoke.util.verifyAccess类的Istypevisible方法,这些类是有助于建立沙箱逃生(类欺骗攻击)。”
Gowdiak表示,他不会期待这种修复也被打破,特别是因为甲骨文现在知道安全探索“公开披露破损的新政策而没有事先警告。
