作者: 红树 编译
【eNews消息】Sun公司插件中存在一处缺陷:在不同浏览器和操作系统上运行Java时,允许病毒在运行Windows和Linux的PC间进行传播。
早在今年6月份就被芬兰的安全研究人员乔科所发现的该缺陷已于上个月得到了Sun
公司的修正,但直到本周二,该缺陷的相关详细资料才被公诸于世。安全信息提供商Secunia公司在发布的安全公告中将该缺陷定级为“高度危急”。
该Java插件可以使名为applets的小互联网应用程序在用户计算机上安全运行,但该安全缺陷可使浏览器绕过保护机制访问恶意网站。乔科在与CNET News.com的电子邮件中声明,该安全缺陷可以使黑客提供的代码在计算机上运行,而无需用户交互。他还称,更为严重的是,同一恶意代码可用于攻击不同的操作系统和浏览器。例如,该缺陷可被用于攻击运行Windows或Linux的系统及使用微软公司的IE和Firefox等主流浏览器软件的系统,这意味着容易受到攻击的系统数量将相当大。
乔科在本周二发表的公告中称,黑客可以利用该缺陷对受感染用户的计算机进行任何操作,包括浏览、修改或运行文件、将更多的代码上传给受感染用户的计算机、或从用户系统发送数据。
尽管主流浏览器中都存在大量的安全问题,但这一缺陷对于Sun公司的Java技术的安全而言,的确是一件令人大跌眼镜的事情。Java的设计宗旨就是在不同的平台上安全运行从互联网上下载的小软件。但是,该缺陷却使Javascript代码可以执行“绝不被外部程序所运行”的执行功能。
上周,Sun的总裁乔纳森在公布即将推出的Solaris 10的详细资料发布会上还称,Java从未遭遇过一个病毒。但是,这一新发现的安全缺陷却能使病毒利用Java插件入侵PC系统。今年10月份,手机版Java插件中的一处安全缺陷就引起人们对恶意代码可能伪装成有用的程序对手机发动攻击的恐慌。
该Java缺陷与最近IE中发现的iFrame缺陷相似,都允许恶意网站在访问者的PC上下载、执行代码,对用户PC的安全构成威胁。乔科在电子邮件中说:“利用该安全缺陷,可以轻易地传播病毒或其它恶意代码。由于在通常情况下,电子邮件中包含的Java applets不会自动执行,故恶意代码本身不会轻易嵌入电子邮件中。但电子邮件中可能包含指向恶意网站的链接。”
尽管Sun没有考虑该安全缺陷是如何被黑客利用的,但声称将布丁软件分发给每一个用户是一项很困难的工作。
当地时间本周二,Sun公司的一位代表说:“我们对此很重视,并最大范围地分发了布丁软件。”Sun的公告、安全信息提供商Secunia公司和乔科都没有指出该安全缺陷是否对苹果计算机公司的Mac OS X操作系统有影响。Sun公司的这位代表称正在对就这一安全缺陷是否会影响Mac进行调查。
苹果计算机公司对此并没有立即发表评论。
版权所有 新浪网