Java 7.x爆高危漏洞

最新推荐文章于 2024-05-29 07:47:39 发布
最新推荐文章于 2024-05-29 07:47:39 发布
阅读量122 收藏
点赞数
文章标签: java 操作系统
据国外安全研究机构称,当前的Java版本中包含了一个严重的安全漏洞,可能导致电脑在访问带有恶意代码的特定网页时被感染。

据悉,该漏洞已经被黑客利用,目前仅是一些有针对性的攻击。但有一个漏洞已经开始流通,因此有可能不久就会出现一波大规模的攻击。

迄今为止,已知的有针对性的攻击是利用该漏洞安装Poison Ivy木马,这些恶意软件托管在位于新加坡的一台服务器上。

该漏洞影响了所有Java 7.x分支版本。在测试中,Windows系统中的所有主流浏览器都可能被利用并感染,其中也包括Chrome。据称,该漏洞也存在于苹果最新的Mountain Lion操作系统。

目前的应对方法是,系统中已安装Java的用户应该禁用浏览器插件,或者干脆移除掉Java插件,至少等到甲骨文公司发布补丁时再启用。当浏览器插件被禁用时,本地Java应用程序仍可以正常使用。

甲骨文公司尚未对这个漏洞发表评论,因此该漏洞是否已被修复还未知。根据计划,Java 7的下一版更新将于10月16日发布,届时可能会包含这一漏洞相关补丁。

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/301743/viewspace-742132/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/301743/viewspace-742132/

cuiao6729
关注
Spring Cloud 爆高危漏洞,老板给你打电话了没?
公众号:微观技术
03-14 271
大家好!我是Tom哥互联网时代,微服务盛行,为了整合生态,Spring Cloud 横空出世。之前Tom哥还写过一篇全家桶文章《【万字长文】创业公司就应该技术选型 Spring Cloud Alibaba , 开箱即用》正所谓 “成也萧何,败也萧何”, 这货提供了便利同时,也经常捅个篓子。这不刚刚又爆出个漏洞Spring Cloud 突发漏洞Log4j2 的核弹级漏洞刚告一段落,Spring Cloud Gateway 又突发高危漏洞,又得折腾了。。。2022年3月1日,Spring官方
struts1.3.15.1高危漏洞修复版ssh包
08-15
总之,"struts1.3.15.1高危漏洞修复版ssh包"是一个集成了修复Struts高危漏洞的SSH框架,旨在帮助开发者构建更安全的Java Web应用程序。用户在使用时,应了解每个框架的最新安全更新,合理配置项目,以保障系统的稳定...
JAVA突现高危漏洞
白璐 | 产品经理
12-02 1357
——据了解,微软在最新一期信息安全研究报告中称,最近一年内,微软信息安全团队总共侦测到2750万次瞄准Java漏洞的攻击,平均每季度690万次,JAVA已经成为了继Adobe之后黑客的主要攻击目标。      近日,一则Oracle公司Java Applet Rhino 脚本引擎存在远程执行代码高危漏洞的消息遭披露,该漏洞的代码细节被完全公开。目前,该漏洞的演示程序已在国内多个安全论坛、主流
谷歌 OAuth客户端库(Java版)中存在高危漏洞
smellycat000的专栏
05-20 263
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士上个月,谷歌解决了OAuth 客户端库(Java版)中的一个高危漏洞(CVE-2021-22573),本可导致恶意人员使用受陷令牌部署任意payload。该漏洞的CVSS评分为8.7,和因加密签名验证不当在库中引发验证绕过的问题有关。该漏洞是由弗吉尼亚大学博士在读四年级学生 Tamjid AI Rahat 发现并报告的...
Java高危漏洞被再度利用 可攻击最新版本服务器
weixin_33901926的博客
03-16 215
2019独角兽企业重金招聘Python工程师标准>>> ...
补丁问题导致Java高危漏洞再现 可攻击最新版服务器
weixin_34345753的博客
09-04 270
本文讲的是补丁问题导致Java高危漏洞再现 可攻击最新版服务器,安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过。这使得此漏洞可以被再度利用,攻击运行最新版本 Java 的个人计算机及服务器。 该漏洞在通用漏洞及披露数据库中的代码为 CVE-2013-5838 ,甲骨文在通用漏洞评分系统上给其打出过 9...
java7 安全漏洞_Java7最新安全漏洞临时解决方法
weixin_32153867的博客
02-13 692
Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。 Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞使得远程攻击者可以绕过java securityManager的检查远程执行任意java代码控制用户系统。 目前Oracle Java Runtime Enviro...
Java Random.nextInt()方法原理解析
09-07
种子`x[0]`(在Java中是通过构造函数提供的值或系统时间)经过这个公式计算后得到`x[1]`,再计算`x[2]`,以此类推,形成随机数序列。 需要注意的是,虽然名为“随机”,但LCG算法生成的序列其实是伪随机的,因为它...
【snakeyaml升级2.x重写类源文件】
02-29
7. **漏洞修复**:确认升级解决了之前存在的安全漏洞,如反序列化攻击等。在升级前后的安全扫描结果对比可以帮助确认这一点。 8. **文档更新**:记录下升级过程和所做的修改,以便将来维护和查阅。 在实际操作中,...
CVE-2019-17571:Apache Log4j 1.2.X存在反序列化远程代码执行漏洞
04-24
Apache Log4j是美国阿帕奇(Apache)软件基金会的一款基于Java的开源日志记录工具.Apache Log4j 1.2.X系列版本中存在反序列化远程代码执行漏洞.攻击者可利用该漏洞执行任意恶意命令.在Log4j 1.2.X中包含一个...
Java7重大安全漏洞之对策
热门推荐
fisher_jiang的专栏
01-13 1万+
“根据美国计算机紧急响应小组(CERT)本月 10 日 (2013年 )发布的报告:Java 7 存在巨大的安全漏洞,美国国土安全局已经向所有用户发出建议,要求立即禁用 Java 7。”   The latest version of Java 7 (Update 10) includes a feature that makes it simpler to unplug Java from
Java代码漏洞检测-常见漏洞与修复建议
最新发布
dzqxwzoe的博客
05-29 2682
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Java 中的序列化安全漏洞梳理
HongYu012的博客
03-30 2829
背景 现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java 的序列化机制有关。本文简单梳理了一下序列化机制相关知识,解释为什么这么多漏洞都和 Java 的序列化有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列化漏洞后,简单评估该漏洞对自身应用的影响 为什么需要序列化 序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。 序列化的使用场景很
Java的一个日志库Log4j2高危漏洞
直到世界尽头
12-14 4507
log4j的远程访问漏洞
七个常见的Java应用安全陷阱及应对
jiey0407的博客
06-13 1789
Java应用程序已经成为黑客经常攻击的目标,毕竟,它涉及的组件太多:服务器端逻辑、客户端逻辑、数据存储、数据传输、API及其他组件,确保所有组件安全无疑困难重重。实际上,23%的.NET应用程序存在严重漏洞,而44%的Java应用程序存在严重漏洞Java应用安全方面的挑战有很多,不过,本文列举了七个较常见的典型安全陷阱,如果企业安全团队意识到Java应用程序中可能存在漏洞,先试着从这几个方面着手开展工作,可能会更容易、更快捷发现并消除问题。XXE攻击如果网络攻击者利用可扩展标记语言(XML)解析器读取服务
java栈溢出漏洞cve,CVE-2017-13772分析及mips栈溢出利用总结
weixin_36374366的博客
03-15 427
1. 前言本文将分析CVE-2017-13772,并总结mips栈溢出利用的一般思路。阅读之前需要先了解mips汇编相关知识。在阅读实践->文章链接2. CVE-2017-13772漏洞成因CVE-2017-13772是tp-link的栈溢出漏洞,如果ping功能处输入过长的ip地址会触发漏洞。一般而言,ping功能处我们一般是尝试命令注入,tp-link厂商在字符串过滤方面做得不错,一些特...
java漏洞_Java反序列化漏洞的原理分析
weixin_31104245的博客
02-12 2417
*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。*本文原创作者:Moonlightos,本文属FreeBuf原创奖励计划,未经许可禁止转载世界上有三件事最难:把别人的钱装进自己的口袋里把自己的想法装进别人的脑袋里让自己的代码运行在别人的服务器上前言Java反序列化漏洞是近一段时间里一直被重点关注的漏洞,自从 Apache Comm...
在流行的 Java 日志库 log4j 中发现了严重的 RCE 零日漏洞
学海无涯苦作舟的博客
12-11 1368
在 log4j 中发现了一个严重的远程代码执行漏洞,这是一种非常流行的日志工具,被大多数行业使用。它非常严重,几乎影响到所有运行 Java 的服务器,而且很容易被利用,因此您需要尽快更新和缓解该问题。 这是如何运作的? 该漏洞由CVE-2021-44228跟踪,可能会影响几乎所有使用 的 Java 应用程序log4j,考虑到它无处不在,这是相当多的。如果您的应用程序曾经记录用户发送的字符串,则它可能容易受到攻击。就漏洞利用而言,它是今年最糟糕的漏洞之一,因为它基本上可以以某种方式针对任何运行 Java 的.
人工智能辅助快速发现中间件与组件的高危漏洞
资源摘要信息:"本资源为一份人工智能在渗透测试中的应用项目实践,专注于快速检测常见中间件和组件中的高危漏洞。针对的测试环境是Windows 10系统,并且需要Python 3编程环境。该资源提供了漏洞检测脚本,并需要安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值