查看: 2528|回复: 25

Java零日漏洞威胁未除,最新Java7u11零日漏洞已在售卖

[复制链接]
发表于 2013-1-19 10:05:52 | 显示全部楼层 |阅读模式

今日消息,国外知名安全博客Krebs表示收到消息,地下论坛已经在售卖最新版Java 7 Update 11零日漏洞。

周一的时候Oracle放出了紧急补丁,更新java到update11,以修复上周发现的零日漏洞。然而一个黑客论坛已经放出消息,要售卖针对最新版java(Java 7 Update11)的0day,并称该0day并未包含在任何漏洞利用包中,甚至Blackhole和Cool Exploit Kit。而且只会出售给两个人,价格为每人5000美元。内容包括未加密的漏洞利用代码,已加密版,以及已经制作成攻击工具版。售卖者表示接收竞价,价高者得。从公告判断已经有一人认购了,而随后Krebs发现在地下论坛原来的公告也消失了,怀疑已经出现第二个买家将漏洞买走了。

这次的售价并不算高,分析推测可能是该0day利用程度较难,或者由于已经有大量警告禁用java插件导致利用市场相对缩小。
无独有偶的是,在Oracle发布补丁不久后,著名安全漏洞检测工具公司Immunity确认,最新版java只修复了两个bug中的一个。blog中表示软件业者透过修补程序解决蠕虫/0day漏洞的时候,并不一定会去解决所有的相关问题,而他们仔细研究Java 7 update 11时发现,甲骨文只处理了当中一个漏洞,意味着另一个漏洞仍会被攻击;此一修补程序的确因解决其中一个问题而阻止了攻击程序,但了解Java的黑客在另一个零时差漏洞的协助下将能继续危害使用者。
这次Oracle公布的补丁修复了CVE-2012-3174和CVE-2013-0422两个漏洞,Immunity认为CVE-2013-0422并未得到修复。具体详见以下分析:
http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.html


发表于 2013-1-26 02:37:20 | 显示全部楼层
加油啊!!!!顶哦!!!!!  
发表于 2013-1-29 07:17:21 | 显示全部楼层
我又回复了  
发表于 2013-2-2 08:35:42 | 显示全部楼层
慢慢来,呵呵  
476682284 该用户已被删除
发表于 2013-2-2 22:23:09 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2013-2-3 09:34:05 | 显示全部楼层
不对,就是碗是铁的,里边没饭你吃啥去?  
7299189 该用户已被删除
发表于 2014-9-17 08:29:06 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2014-12-26 11:49:50 | 显示全部楼层
观看中  
发表于 2015-1-26 14:23:19 | 显示全部楼层
偶啥时才能熬出头啊.  
发表于 2015-2-28 17:17:58 | 显示全部楼层
其实回帖算是一种没德德,所以我快成圣人了  
高级模式
B Color Image Link Quote Code Smilies

本版积分规则