发信人: pig()
整理人: snowypeng(2002-05-23 09:35:58), 站内信件
|
【 以下文字转载自 cn_internet 讨论区 】
【 原文由 [email protected] 所发表 】
在 Communicator 4.5 刚 刚 新 鲜 出 炉 之 际,严 重 的 安 全 漏 洞 就 摆
在 网 景 面 前,这 个 漏 洞 影 响 到 Navigator 4.0。
SIP、网景各有说法
该 漏 洞 最 先 由 普 林 斯 顿 大 学 互 联 网 编 程 中 心(SIP) 发 现,
使 得 恶 意 的 Java 小 程 序 能 够 扰 乱 浏 览 器 的 安 全 控 制, 导
致 用 户 计 算 机 在 互 联 网 的 各 种 袭 击 面 前 毫 无 防 备。
SIP 称,由 此 引 发 的 后 果 不 堪 设 想。一 旦 浏 览 器 安 全 没 有 了
保 证,就 没 有 更 多 保 护 可 言。蓄 意 攻 击 者 可 以 编 写 出 一 个
能 控 制 受 害 者 机 器 的 小 程 序,然 后 可 以 删 除 或 修 改 文 件,
传 播 病 毒,甚 至 为 所 欲 为。
网 景 则 一 面 强 调 公 司 对 安 全 问 题 持 十 分 认 真 的 态 度,一
面 宣 称 这 个 漏 洞 可 能 带 来 的 威 胁 很 小。它 说,这 种 袭 击 因
为 需 要 跨 越 好 几 道 障 碍 而 很 难 进 行。
据 悉,该 漏 洞 仅 影 响 到 网 景 浏 览 器 Navigator 的 4.0x 版 本。到
目 前 为 止,尚 未 发 现 有 人 成 功 入 侵。
此“虫”从何而来
这 个 漏 洞 出 现 在 Java 编 程 语 言 中“Class Loader”的 执 行 中,
即 在 Java 虚 拟 机 中 对 Java 代 码 的 类 别 和 单 位 进 行 汇 总。
在 安 全 状 态 下,称 为“ 目 标 ”的 代 码 以 类 型 分 类,根 据 类 别
只 能 进 行 特 定 操 作。
而 新 发 现 的 漏 洞 使 JVM 对 自 己 正 在 处 理 的“ 目 标 ” 类 型 产
生 混 淆, 从 而 使 安 全 系 统 紊 乱。
SIP 同 时 指 出 了 Java 安 全 体 系 本 身 的 不 可 靠 性。SIP 的 站 点
上 说, 尽 管 JDK 1.1 和 JDK 1.2 测 试 版 中 都 做 了 修 改,ClassLoaders
依 然 存 在 着 令 人 担 忧 的 安 全 隐 患, 黑 客 依 然 能 编 写 击 破
安 全 体 系 的 小 程 序。
Communicator 4.5 高枕无忧
据 悉, 这 一 漏 洞 是 在 Communicator 4.5 Beta 版 推 出 之 前 发 现 的,
Communicator 4.5 中 已 经 对 此 进 行 修 补, 因 而 升 级 到 4.5 版 本 的
用 户 不 必 担 忧。
--
╭ ╭──╮ ╮ J
╰═<BLINK></BLINK><BLINK>@ @ </BLINK> ═╯ O
╭oo ──╮ R ■ <BLINK></BLINK><BLINK>牛牛</BLINK> GNET: [email protected] ■
╰╮ ─╯ ╞╮ D ■ <BLINK></BLINK><BLINK>信箱</BLINK> INET: [email protected] ■
│ ┌─╮ │╰= A
└└┘└└─┘ N
※ 来源:.惠州明月湾BBS bbs.huizhou.gd.cn.[FROM: 202.96.143.219]
※ 转载:.广州网易 BBS bbs.nease.net.[FROM: max3-177.guangz]
|
|