漏洞信息详情
Oracle Java Runtime Environment 远程代码注入漏洞
- CNNVD编号:CNNVD-201301-249
- 危害等级: 超危
- CVE编号: CVE-2012-3174
- 漏洞类型: 权限许可和访问控制
- 发布时间: 2013-01-15
- 威胁类型: 远程
- 更新时间: 2013-01-15
- 厂 商: oracle
- 漏洞来源: Eric Maurice
漏洞简介
Java是由Sun Microsystems公司于1995年5月推出的Java程序设计语言和Java平台的总称。
Oracle Java 7 Update 11之前版本中存在漏洞。通过递归使用Reflection API,远程攻击者利用该漏洞执行任意代码。(1)绕过安全检查java.lang.invoke.MethodHandles.Lookup.checkSecurityManager和(2)使用sun.reflect.Reflection.getCallerClass。
漏洞公告
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.oracle.com/technetwork/topics/security/whatsnew/index.HTML
参考网址
来源:US-CERT Vulnerability Note: VU#625617
名称: VU#625617
链接:http://www.kb.cert.org/vuls/id/625617
来源: threatpost.com
链接:https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013
来源: www.oracle.com
链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.HTML
来源: malware.dontneedcoffee.com
链接:http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.HTML
来源: labs.alienvault.com
链接:http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/
来源: krebsonsecurity.com
链接:http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
来源: immunityproducts.blogspot.ca
链接:http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.HTML
来源: blog.fireeye.com
链接:http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.HTML
来源:SECUNIA
名称:51873
链接:http://secunia.com/advisories/51873
来源: BID
名称: 57312
链接:http://www.securityfocus.com/bid/57312
受影响实体
- Oracle Jdk:1.7.0:Update10
- Oracle Jre:1.7.0:Update10
- Oracle Jre:1.7.0:Update9
- Oracle Jdk:1.7.0:Update9
- Oracle Jdk:1.7.0:Update7
补丁
- jre-7u17-solaris-i586
- jre-7u17-windows-i586-iftw
- jre-7u17-macosx-x64
- jre-7u17-solaris-x64
- jre-7u17-windows-x64
评论