« 微软将推出IE7?
FireFox节节进逼 微软IE 7将先行于Windows »

Sun Java Plugin安全漏洞非常危险

作者: techrepublic.com.com
Wednesday, February 16 2005 10:57 AM

Sun已经披露了关于它的Java Plugin软件的一个严重安全隐患的有关信息,这一隐患将会影响许多浏览器和操作系统。

最近发现的Sun Java Plugin的一个安全漏洞将威胁到许多的Web浏览器,比如Mozilla, Firefox, 以及IE,同时这一漏洞也将对许多操作系统带来威胁。

具体细节
关于Java Plugin 的这一严重漏洞,Sun的说明是:“Java Plugin的一个漏洞可能允许未被信任的JAVA小程序提升自己的权限,通过JavaScript执行Java代码,从而以合法用户的权限对某些文件进行读写操作。”

这个漏洞是与平台无关的,可能影响到任何安装了有问题Java版本的系统。

关于这一漏洞进一步的信息,Sun请IT专业人士查阅Mitre CVE CAN-2004-1029。不过,CVE中的内容通常没有什么有用的信息,还是Sun自己的网页更有帮助一些,但是你想找到相应的网页却是很困难的。

要查阅2002年11月以后Sun承认的Java漏洞,Sun建议去它的“危险通告网页”( Sun Alert Notifications page)。不幸的是,该页只是一个搜索链接。当你点击该页左册的“补丁”或“安全信息”的链接时,你得不到有关当前开发的任何信息。

该页的搜索引擎也没有太大的帮助。比如,如果你搜索“SDK”,显示的最新漏洞是2003年5月发布的。如果搜索“JVM”,可以显示出今年7月和9月发布的漏洞,但是没有最近的漏洞信息。你搜索“Java”也是类似的结果。

最新的Java漏洞是和“沙箱”有关,本来“沙箱”是为执行Java代码提供安全环境的。如果你知道这个漏洞的一些细节,并且搜索“Java 沙箱”,你得到的报告中最早的还是1年多以前的。

只有当你点击“浏览文档”链接并且选择Sun危险通告时,你才能找到有关最新漏洞的信息。

Java Plugin的JRE 和SDK的最新漏洞信息是文档57591(document 57591),发布时间是2004年11月22日。(作者评论:这个漏洞最近主要是由其它的媒介渠道进行公布的,当你看到这篇文章时,Sun的网站上相应的链接可能已经比较显著了。)

涉及范围
这个漏洞影响Solaris,Windows,和Linux平台的Java的软件开发工具包(SDK)以及Java运行环境。按照Sun的说法,“JDK 和JRE 5.0”不受影响,但是,SDK和JRE1.4.2_05及较早版本,所有的1.4.1和1.4.0版本,1.3.1_12及较早版本,都将收到影响。

危险等级——严重
该漏洞允许攻击者完全绕过Java的安全设置。更严重的是,我猜想绝大多数的用户和安全管理员完全不了解该漏洞,他们或者不知道要转换系统的Java虚拟机(VM),或者不知道要升级他们的Java代码。因此,该漏洞可能会在许多机器上存在一段时间,它存在的时间越长,它就越严重。

修补措施——升级或者禁用Java
Sun的报告说,该漏洞没法修复,也没有变通的办法。你需要升级你的系统到更新的版本来避免这个漏洞。Sun说,SDK和JRE 1.4.2_06及更新的版本,SDK 和JRE 1.3.1_1及更新的版本都是安全的。

尽管Sun没有说变通的办法,其他人指出了一个明显的变通之法:在你的浏览器中禁用Java将完全避免这个漏洞。

最早把这个漏洞通知Sun的iDEFENSE,建议了几种变通方案,其中就包括禁用Java或者禁用JavaScript。你还可以使用非Sun的Java虚拟机(JVM),如微软的Java虚拟机(VM),它不受该漏洞的影响。

Java的安全性
如果你认为Java是相对安全的,我建议你查阅一下普林斯顿大学计算机系的网站。他们在Java虚拟机和许多版本的Java软件开发工具包中,发现了大量的漏洞。作为一个独立的Java安全检测机构,普林斯顿大学的“安全的互联网项目组”(Secure Internet Programming Team)把原先的一个FAQ(常见问题解答)公布到了网上。但是,关于最新的危险评估和安全技巧,你可能想要查阅Sun自己的“Java程序安全问答” ( Java Applet Security FAQ)。你也可以查阅Sun的按时间顺序编排的“安全漏洞表”,但你从那得不到任何当前的信息。

结束语
厂商们总是批评发布漏洞信息的安全公司,但你却总能从安全公司的网站上找到比厂商的网站上更详细的关于漏洞的信息。这个现象不是很有趣吗?厂商们在他们的网站上为用户和管理员放上了有关最新的安全威胁的链接了吗?我只是因为好奇和不知道谁这样作过而提出这个问题。当许多IT人士听说了一个新的安全漏洞后,他们发现自己必须成为一个搜索专家才能在网上找到关于该漏洞的可靠信息。我猜想,面对这种状况,他们是非常沮丧的。

在这个例子中,iDEFENSE在2004年6月29日把这个漏洞向Sun做了通报,并且直到2004年11月22日才对外公布。毫无疑问的,他们的行为表现出了很高的职业道德。Sun也称赞他们发现了这个漏洞。但是,不知为什么,有些奇怪的是,在iDEFENSE的网站上比Sun自己的网站上有更多的关于该漏洞的细节和分析。

在这件事上,我之所以指责Sun是因为它的CEO—Scott McNealy经常在一些会议上批评微软并且谈论Java比微软的产品如何更安全。

This entry was posted on Wednesday, February 16th, 2005 at 1:01 pm and is filed under General | 其它. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

Leave a Reply