漏洞信息详情

Oracle Java Runtime Environment 远程代码注入漏洞

• CNNVD编号：CNNVD-201301-249
• 危害等级： 超危
  
• CVE编号： CVE-2012-3174
• 漏洞类型： 权限许可和访问控制
• 发布时间： 2013-01-15
• 威胁类型： 远程
• 更新时间： 2013-01-15
• 厂        商： oracle
• 漏洞来源： Eric Maurice

漏洞简介

Java是由Sun Microsystems公司于1995年5月推出的Java程序设计语言和Java平台的总称。

Oracle Java 7 Update 11之前版本中存在漏洞。通过递归使用Reflection API，远程攻击者利用该漏洞执行任意代码。(1)绕过安全检查java.lang.invoke.MethodHandles.Lookup.checkSecurityManager和(2)使用sun.reflect.Reflection.getCallerClass。

漏洞公告

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://www.oracle.com/technetwork/topics/security/whatsnew/index.HTML

参考网址

来源:US-CERT Vulnerability Note: VU#625617

名称: VU#625617

链接:http://www.kb.cert.org/vuls/id/625617

来源: threatpost.com

链接:https://threatpost.com/en_us/blogs/nasty-new-java-zero-day-found-exploit-kits-already-have-it-011013

来源: www.oracle.com

链接:http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.HTML

来源: malware.dontneedcoffee.com

链接:http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.HTML

来源: labs.alienvault.com

链接:http://labs.alienvault.com/labs/index.php/2013/new-year-new-java-zeroday/

来源: krebsonsecurity.com

链接:http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/

来源: immunityproducts.blogspot.ca

链接:http://immunityproducts.blogspot.ca/2013/01/confirmed-java-only-fixed-one-of-two.HTML

来源: blog.fireeye.com

链接:http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.HTML

来源:SECUNIA

名称:51873

链接:http://secunia.com/advisories/51873

来源: BID

名称: 57312

链接:http://www.securityfocus.com/bid/57312

受影响实体

• Oracle Jdk:1.7.0:Update10  
• Oracle Jre:1.7.0:Update10  
• Oracle Jre:1.7.0:Update9  
• Oracle Jdk:1.7.0:Update9  
• Oracle Jdk:1.7.0:Update7  

补丁

• jre-7u17-solaris-i586
• jre-7u17-windows-i586-iftw
• jre-7u17-macosx-x64
• jre-7u17-solaris-x64
• jre-7u17-windows-x64