类型:转载 责任编辑:est 日期:2007/03/01
热门软件下载:
sip、网景各有说法
该 漏 洞 最 先 由 普 林 斯 顿 大 学 互 联 网 编 程 中 心(sip) 发 现, 使 得 恶 意 的 java 小 程 序 能 够 扰 乱 浏 览 器 的 安 全 控 制, 导 致 用 户 计 算 机 在 互 联 网 的 各 种 袭 击 面 前 毫 无 防 备。
sip 称,由 此 引 发 的 后 果 不 堪 设 想。一 旦 浏 览 器 安 全 没 有 了 保 证,就 没 有 更 多 保 护 可 言。蓄 意 攻 击 者 可 以 编 写 出 一 个 能 控 制 受 害 者 机 器 的 小 程 序,然 后 可 以 删 除 或 修 改 文 件, 传 播 病 毒,甚 至 为 所 欲 为。
网 景 则 一 面 强 调 公 司 对 安 全 问 题 持 十 分 认 真 的 态 度,一 面 宣 称 这 个 漏 洞 可 能 带 来 的 威 胁 很 小。它 说,这 种 袭 击 因 为 需 要 跨 越 好 几 道 障 碍 而 很 难 进 行。
据 悉,该 漏 洞 仅 影 响 到 网 景 浏 览 器 navigator 的 4.0x 版 本。到 目 前 为 止,尚 未 发 现 有 人 成 功 入 侵。
此“虫”从何而来
这 个 漏 洞 出 现 在 java 编 程 语 言 中“class loader”的 执 行 中, 即 在 java 虚 拟 机 中 对 java 代 码 的 类 别 和 单 位 进 行 汇 总。
在 安 全 状 态 下,称 为“ 目 标 ”的 代 码 以 类 型 分 类,根 据 类 别 只 能 进 行 特 定 操 作。
而 新 发 现 的 漏 洞 使 jvm 对 自 己 正 在 处 理 的“ 目 标 ” 类 型 产 生 混 淆, 从 而 使 安 全 系 统 紊 乱。
sip 同 时 指 出 了 java 安 全 体 系 本 身 的 不 可 靠 性。sip 的 站 点 上 说, 尽 管 jdk 1.1 和 jdk 1.2 测 试 版 中 都 做 了 修 改,classloaders 依 然 存 在 着 令 人 担 忧 的 安 全 隐 患, 黑 客 依 然 能 编 写 击 破 安 全 体 系 的 小 程 序。
communicator 4.5 高枕无忧
据 悉, 这 一 漏 洞 是 在 communicator 4.5 beta 版 推 出 之 前 发 现 的,communicator 4.5 中 已 经 对 此 进 行 修 补, 因 而 升 级 到 4.5 版 本 的 用 户 不 必 担 忧。