在Tavis Ormandy发布了有关如何利用Java Deployment Toolkit中的漏洞的概念证明之后,AVG Technologies首席研究官Roger Thompson 宣布已在俄罗斯的攻击服务器上检测到该代码。
显然,Songlyrics.com在不经意间将用户重定向到此攻击服务器,该攻击服务器除了提供了更大规模的利用工具包之外,还将Ormandy的利用提供给了受害者。
该漏洞利用了2008年4月发布的Sun Java 6 update 10的Java Web Start功能。
Orgmandy写道:“到目前为止,据我们所知,它并没有包含在任何漏洞利用工具包中,但这已经是可以肯定的了,” Orgmandy写道:“滴答……滴答……滴答……”
翻译自: https://jaxenter.com/lyric-website-exploits-java-web-start-vulnerability-100837.html