甲骨文公司Oracle发布了Java 6、7、8的安全更新,用于修复一个高危的安全漏洞。该漏洞将导致远程未经授权的攻击者执行任意代码。漏洞是由Stefan Kanthak发现的,编号为CVE-2016-0603,该漏洞影响Windows下的Java 6、7、8的安装程序加载和执行很多来自应用目录(下载目录)的DLL动态链接库。其会影响到种类繁多之应用程序,从网络浏览器到杀毒软件、从文件压缩工具到家庭影院软件皆有涉及。
如果攻击者在安装Java之前在相同目录下放置一些恶意的DLL,那么安装过程中将会执行这些DLL,这将导致目标系统暴漏于危险之中。这也是为什么Oracle将这个漏洞标注为高危漏洞的原因。
DLL劫持一直是种疑难杂症
这种攻击类型长久以来一直存在,而且已经为多家软件供应商所知悉,特别是各恶意软件开发者——他们之所以对此类攻击手段青睐有加,是因为其允许恶意人士劫持合法的应用程序,且无需诱导用户通过双击执行提前准备好的恶意二进制文件。
如果大家一直在关注Packet Storm、SecLists或者Security Focus等信息安全站点,就会了解到德国安全研究人员Stefan Kanthak始终以该安全漏洞为核心对多款软件产品的安装程序进行测试。
下面来看一份关于受影响应用程序的简短清单(并不完整),包含这项安全漏洞的常见应用包括:谷歌Chrome、Adobe Reader、7Zip、WinRAR、OpenOffice、VLC媒体播放器、Nmap、Python、TrueCrypt以及苹果iTunes。
Kanthak先生还将相当一部分精力用在杀毒软件安装程序身上。下面来看他发现存在DLL劫持漏洞的几款安全产品:ZoneAlarm、Emisisoft杀毒软件、Trend Micro、ESET NOD32、Avira、Panda Security、McAfee Security、微软Security Essentials、Bitdefender、Rapid7的ScanNowUPnP、卡巴斯基以及F-Secure。
甲骨文是第一家认真对待Kanthak报告的厂商,并在着手修复Java与VirtualBox
根据上周五(2月5号)发布的一篇博文,甲骨文公司决定面向其Java 6、7以及8安装程序发布新版本,旨在保护用户免受此类攻击的威胁。
“任何已经下载了Java SE 6u113、7u97或者8u73等早期版本安装程序的Java SE用户都可以下载6u113、7u97或者8u73的全新安装程序进行替换,”甲骨文公司在一份声明当中指出。
除了更新Java SE安装程序,该公司还通过上个月发布的季度安装更新补丁解决了存在于其VIrtualBox VM安装程序中的另一个问题(CVE-2016-0602)。
因为我们很难收集到全部受此问题影响的各供应商的漏洞报告,因此向Kanthak先生发送了一封电子邮件,希望了解除甲骨文之外其它供应商是否也开始着手解决这项问题。我们将在后续的文章当中对此加以持续关注。
|