精华区 [关闭][返回]

当前位置:网易精华区>>讨论区精华>>网络专区>>● Internet>>
浏览技巧
>>Netscape>>[转载] Navigator 4.0 发现安全漏洞!

主题:[转载] Navigator 4.0 发现安全漏洞!
发信人: pig()
整理人: snowypeng(2002-05-23 09:35:58), 站内信件
【 以下文字转载自 cn_internet 讨论区 】
【 原文由
 [email protected] 所发表 】
在 Communicator 4.5 刚 刚 新 鲜 出 炉 之 际,严 重 的 安 全 漏 洞 就 摆
 在 网 景 面 前,这 个 漏 洞 影 响 到 Navigator 4.0。
 

SIP、网景各有说法
 该 漏 洞 最 先 由 普 林 斯 顿 大 学 互 联 网 编 程 中 心(SIP) 发 现,
 使 得 恶 意 的 Java 小 程 序 能 够 扰 乱 浏 览 器 的 安 全 控 制, 导 
致 用 户 计 算 机 在 互 联 网 的 各 种 袭 击 面 前 毫 无 防 备。

 SIP 称,由 此 引 发 的 后 果 不 堪 设 想。一 旦 浏 览 器 安 全 没 有 了
 保 证,就 没 有 更 多 保 护 可 言。蓄 意 攻 击 者 可 以 编 写 出 一 个
 能 控 制 受 害 者 机 器 的 小 程 序,然 后 可 以 删 除 或 修 改 文 件,
 传 播 病 毒,甚 至 为 所 欲 为。

 网 景 则 一 面 强 调 公 司 对 安 全 问 题 持 十 分 认 真 的 态 度,一 
面 宣 称 这 个 漏 洞 可 能 带 来 的 威 胁 很 小。它 说,这 种 袭 击 因 
为 需 要 跨 越 好 几 道 障 碍 而 很 难 进 行。

 据 悉,该 漏 洞 仅 影 响 到 网 景 浏 览 器 Navigator 的 4.0x 版 本。到 
目 前 为 止,尚 未 发 现 有 人 成 功 入 侵。


 

此“虫”从何而来
 这 个 漏 洞 出 现 在 Java 编 程 语 言 中“Class Loader”的 执 行 中, 
即 在 Java 虚 拟 机 中 对 Java 代 码 的 类 别 和 单 位 进 行 汇 总。

 在 安 全 状 态 下,称 为“ 目 标 ”的 代 码 以 类 型 分 类,根 据 类 别 
只 能 进 行 特 定 操 作。

 而 新 发 现 的 漏 洞 使 JVM 对 自 己 正 在 处 理 的“ 目 标 ” 类 型 产 
生 混 淆, 从 而 使 安 全 系 统 紊 乱。 

 SIP 同 时 指 出 了 Java 安 全 体 系 本 身 的 不 可 靠 性。SIP 的 站 点 
上 说, 尽 管 JDK 1.1 和 JDK 1.2 测 试 版 中 都 做 了 修 改,ClassLoaders
依 然 存 在 着 令 人 担 忧 的 安 全 隐 患, 黑 客 依 然 能 编 写 击 破 
安 全 体 系 的 小 程 序。

 

Communicator 4.5 高枕无忧
 据 悉, 这 一 漏 洞 是 在 Communicator 4.5 Beta 版 推 出 之 前 发 现 的,
Communicator 4.5 中 已 经 对 此 进 行 修 补, 因 而 升 级 到 4.5 版 本 的
 用 户 不 必 担 忧。 

--
 ╭ ╭──╮ ╮          J                                                    
 ╰═<BLINK></BLINK><BLINK>@  @ </BLINK> ═╯          O                                                    
   ╭oo      ──╮      R     ■ <BLINK></BLINK><BLINK>牛牛</BLINK> GNET: [email protected] ■      
   ╰╮ ─╯     ╞╮    D     ■ <BLINK></BLINK><BLINK>信箱</BLINK> INET: [email protected] ■      
     │  ┌─╮  │╰=   A                                                    
     └└┘└└─┘      N                                                    

※ 来源:.惠州明月湾BBS bbs.huizhou.gd.cn.[FROM: 202.96.143.219]

※ 转载:.广州网易 BBS bbs.nease.net.[FROM: max3-177.guangz]

[关闭][返回]