甲骨文公司Oracle发布了Java 6、7、8的安全更新，用于修复一个高危的安全漏洞。该漏洞将导致远程未经授权的攻击者执行任意代码。漏洞是由Stefan Kanthak发现的，编号为CVE-2016-0603，该漏洞影响Windows下的Java 6、7、8的安装程序加载和执行很多来自应用目录（下载目录）的DLL动态链接库。其会影响到种类繁多之应用程序，从网络浏览器到杀毒软件、从文件压缩工具到家庭影院软件皆有涉及。

　　如果攻击者在安装Java之前在相同目录下放置一些恶意的DLL，那么安装过程中将会执行这些DLL，这将导致目标系统暴漏于危险之中。这也是为什么Oracle将这个漏洞标注为高危漏洞的原因。

　　DLL劫持一直是种疑难杂症

　　这种攻击类型长久以来一直存在，而且已经为多家软件供应商所知悉，特别是各恶意软件开发者——他们之所以对此类攻击手段青睐有加，是因为其允许恶意人士劫持合法的应用程序，且无需诱导用户通过双击执行提前准备好的恶意二进制文件。

　　如果大家一直在关注Packet Storm、SecLists或者Security Focus等信息安全站点，就会了解到德国安全研究人员Stefan Kanthak始终以该安全漏洞为核心对多款软件产品的安装程序进行测试。

　　下面来看一份关于受影响应用程序的简短清单（并不完整），包含这项安全漏洞的常见应用包括：谷歌Chrome、Adobe Reader、7Zip、WinRAR、OpenOffice、VLC媒体播放器、Nmap、Python、TrueCrypt以及苹果iTunes。

　　Kanthak先生还将相当一部分精力用在杀毒软件安装程序身上。下面来看他发现存在DLL劫持漏洞的几款安全产品：ZoneAlarm、Emisisoft杀毒软件、Trend Micro、ESET NOD32、Avira、Panda Security、McAfee Security、微软Security Essentials、Bitdefender、Rapid7的ScanNowUPnP、卡巴斯基以及F-Secure。

　　甲骨文是第一家认真对待Kanthak报告的厂商，并在着手修复Java与VirtualBox

　　根据上周五（2月5号）发布的一篇博文，甲骨文公司决定面向其Java 6、7以及8安装程序发布新版本，旨在保护用户免受此类攻击的威胁。

　　“任何已经下载了Java SE 6u113、7u97或者8u73等早期版本安装程序的Java SE用户都可以下载6u113、7u97或者8u73的全新安装程序进行替换，”甲骨文公司在一份声明当中指出。

　　除了更新Java SE安装程序，该公司还通过上个月发布的季度安装更新补丁解决了存在于其VIrtualBox VM安装程序中的另一个问题（CVE-2016-0602）。

　　因为我们很难收集到全部受此问题影响的各供应商的漏洞报告，因此向Kanthak先生发送了一封电子邮件，希望了解除甲骨文之外其它供应商是否也开始着手解决这项问题。我们将在后续的文章当中对此加以持续关注。