Java曝出新漏洞 Windows用户可免受Java病毒攻击
发布时间: 2009-09-23 丨 阅读次数: 9686
11月30日国际报道安全专家们正在密切关注新发现的两个安全漏洞。他们相信,很快人们就会见到根据这两个漏洞而产生的病毒和攻击。
上个星期,一位安全专家在SUN公司的浏览器Java插件中,发现了一个漏洞。此外,上周还在微软的IE浏览器中发现了一个横幅广告漏洞。
因为这两种受影响的软件应用非常广泛,所以安全专家们担心,由之产生的漏洞会造成广泛的损害。套用生态学的观点,单一的生态种群生命力脆弱,一个很小的传染病就可以对他们产生毁灭性的打击。
因特网风暴中心技术总监Marcus Sachs说:“如果因特网上70~80%的机器都运行着相同的软件,那么,仅仅一个漏洞就足以瘫痪整个网络。”
安全专家们已经发现整个因特网的基础架构与生态学中的农作物生长理论有几分相似,抛开两个领域之间显见的不同,其实因特网还是可以从农业中学到不少有用的理论的,比如,农业中讲究生物多样性,而安全专家们如今也呼吁在因特网建设中不要采取单一技术,应引入良性竞争,这样有利于整个网络基础建设的健康发展。
Java这次的漏洞就证明了以上观点。这次的漏洞由芬兰的安全专家Jouko Pynnonen在四月发现,上周由SUN公司公布。漏洞的具体技术细节直到本周二才会公开。据称这一漏洞可以让攻击者绕过受害者电脑的安全策略。
完整的攻击将包括多个过程:攻击者首先放出网络病毒,攻陷网络服务器,然后,通过Java漏洞感染所有访问此服务器的客户机。
这种插件攻击增加了攻击面,它让所有运行Java的系统——Windows/Linux/MacOS都受到威胁。
安全专家Oliver Friedrichs说:“粗看起来,这好像是个划时代的跨平台病毒,但我不认为它能真正的跨平台作案。”
在过去,计算机的硬件架构和操作系统往往成为防止病毒扩散的天然屏障,就像淡水鱼无法在海里生存一样,病毒也不能跨平台为害。
但这次发现的Java漏洞,却可以影响最常见的三种平台——Windows/Linux/MacOS。
Pynnonen在一封电子邮件中写道:“这个漏洞非常容易被恶意利用。漏洞本身无法被嵌进电子邮件,因为电子邮件中一般无法直接执行Java程序,但它可以利用链接将用户引导到包含恶意程序的网站上去”
如今,网上威胁多多,就连你造访网页时,顺带而出的广告都有可能带来恶意攻击。
一周前,一台提供网络广告服务的广告服务器向所有访问者丢出了大量恶意代码,受害者包括部分知名网站的读者。这次攻击利用了微软IE浏览器的一个帧框架方面的漏洞。该漏洞在本月早些时候被发现,但直到目前为止微软尚未发布修补程序。
Sachs说道:“微软的产品通常是比较招人攻击的,但其他的产品也可能会被攻击,如今攻击的手段往往不再针对于某一种产品的漏洞,而是针对某项常见的网络服务。”
另一位安全专家Bruce Schneier则认为,如今网络上单一的产品环境是企业和个人自然选择的结果。
他说:“你在网上看到的产品平台确实比较单一,但这是大家的选择,企业和个人都想使用Java,都想用浏览器上网,因为这些东西比较好用。”
Schneier是去年发表的一份由众多安全专家共同撰写的安全报告的主要作者,那份报告引用农业中单一作物影响农业生态平衡的例子,呼吁社会重视微软产品一家独大的危险。
2003年1月,针对微软SQL数据库的蠕虫病毒在10分钟内感染了超过20万台电脑,瘫痪了大半个互联网。此外,微软的IE漏洞也是层出不穷,几乎成了软件臭虫的繁殖基地。
这也就是为什么很多人将最近Firefox的发布视为一个好兆头的原因,如今攻击者必须要付出双倍的汗水,同时研究两种主流浏览器了。也就是说,一半的浏览器用户可能可以免受攻击了。
但Sachs警告说,虽然浏览器的战火重燃,但这很可能只是另一次垄断的前奏,毕竟天下大势,分久必合,合久必分。
他说:“人们总是会不断的在效率与安全之间左右摇摆,但主流当然是效率,毕竟单一的产品使人们只需要学习一次。”
科学家们也在研究,因特网上到底有哪些地方因为过于普及而变得易受攻击。一年前,美国国家科学基金会拨款75万美元给三所大学,研究因特网基础架构中存在那些类似漏洞。
两年前,芬兰一所大学的研究者就在网络基础协议SNMP中发现了大漏洞,此外,今年八月,在显示PNG图像格式时使用的代码库中,也发现了大漏洞。
戏剧性的是,面对此次Java的漏洞,以往广受恶评的Windows可能是少数几个可以免疫的系统之一。因为SUN和微软在许可协议上无法达成一致,以往微软的系统都没有安装SUN的Java软件,而是微软自己的Java虚拟机。
而从Windows XP SP1a开始,微软的产品已经不再有Java的影子,这意味着大多数未使用Java程序的Windows用户不会受到此次Java漏洞的影响。但是,安全专家Friedrichs警告说,用户最好还是应该及时更新他们的系统。他说:“由于使用Java的用户非常之多,我们还是建议用户打上所有的更新和补丁。”
上个星期,一位安全专家在SUN公司的浏览器Java插件中,发现了一个漏洞。此外,上周还在微软的IE浏览器中发现了一个横幅广告漏洞。
因为这两种受影响的软件应用非常广泛,所以安全专家们担心,由之产生的漏洞会造成广泛的损害。套用生态学的观点,单一的生态种群生命力脆弱,一个很小的传染病就可以对他们产生毁灭性的打击。
因特网风暴中心技术总监Marcus Sachs说:“如果因特网上70~80%的机器都运行着相同的软件,那么,仅仅一个漏洞就足以瘫痪整个网络。”
安全专家们已经发现整个因特网的基础架构与生态学中的农作物生长理论有几分相似,抛开两个领域之间显见的不同,其实因特网还是可以从农业中学到不少有用的理论的,比如,农业中讲究生物多样性,而安全专家们如今也呼吁在因特网建设中不要采取单一技术,应引入良性竞争,这样有利于整个网络基础建设的健康发展。
Java这次的漏洞就证明了以上观点。这次的漏洞由芬兰的安全专家Jouko Pynnonen在四月发现,上周由SUN公司公布。漏洞的具体技术细节直到本周二才会公开。据称这一漏洞可以让攻击者绕过受害者电脑的安全策略。
完整的攻击将包括多个过程:攻击者首先放出网络病毒,攻陷网络服务器,然后,通过Java漏洞感染所有访问此服务器的客户机。
这种插件攻击增加了攻击面,它让所有运行Java的系统——Windows/Linux/MacOS都受到威胁。
安全专家Oliver Friedrichs说:“粗看起来,这好像是个划时代的跨平台病毒,但我不认为它能真正的跨平台作案。”
在过去,计算机的硬件架构和操作系统往往成为防止病毒扩散的天然屏障,就像淡水鱼无法在海里生存一样,病毒也不能跨平台为害。
但这次发现的Java漏洞,却可以影响最常见的三种平台——Windows/Linux/MacOS。
Pynnonen在一封电子邮件中写道:“这个漏洞非常容易被恶意利用。漏洞本身无法被嵌进电子邮件,因为电子邮件中一般无法直接执行Java程序,但它可以利用链接将用户引导到包含恶意程序的网站上去”
如今,网上威胁多多,就连你造访网页时,顺带而出的广告都有可能带来恶意攻击。
一周前,一台提供网络广告服务的广告服务器向所有访问者丢出了大量恶意代码,受害者包括部分知名网站的读者。这次攻击利用了微软IE浏览器的一个帧框架方面的漏洞。该漏洞在本月早些时候被发现,但直到目前为止微软尚未发布修补程序。
Sachs说道:“微软的产品通常是比较招人攻击的,但其他的产品也可能会被攻击,如今攻击的手段往往不再针对于某一种产品的漏洞,而是针对某项常见的网络服务。”
另一位安全专家Bruce Schneier则认为,如今网络上单一的产品环境是企业和个人自然选择的结果。
他说:“你在网上看到的产品平台确实比较单一,但这是大家的选择,企业和个人都想使用Java,都想用浏览器上网,因为这些东西比较好用。”
Schneier是去年发表的一份由众多安全专家共同撰写的安全报告的主要作者,那份报告引用农业中单一作物影响农业生态平衡的例子,呼吁社会重视微软产品一家独大的危险。
2003年1月,针对微软SQL数据库的蠕虫病毒在10分钟内感染了超过20万台电脑,瘫痪了大半个互联网。此外,微软的IE漏洞也是层出不穷,几乎成了软件臭虫的繁殖基地。
这也就是为什么很多人将最近Firefox的发布视为一个好兆头的原因,如今攻击者必须要付出双倍的汗水,同时研究两种主流浏览器了。也就是说,一半的浏览器用户可能可以免受攻击了。
但Sachs警告说,虽然浏览器的战火重燃,但这很可能只是另一次垄断的前奏,毕竟天下大势,分久必合,合久必分。
他说:“人们总是会不断的在效率与安全之间左右摇摆,但主流当然是效率,毕竟单一的产品使人们只需要学习一次。”
科学家们也在研究,因特网上到底有哪些地方因为过于普及而变得易受攻击。一年前,美国国家科学基金会拨款75万美元给三所大学,研究因特网基础架构中存在那些类似漏洞。
两年前,芬兰一所大学的研究者就在网络基础协议SNMP中发现了大漏洞,此外,今年八月,在显示PNG图像格式时使用的代码库中,也发现了大漏洞。
戏剧性的是,面对此次Java的漏洞,以往广受恶评的Windows可能是少数几个可以免疫的系统之一。因为SUN和微软在许可协议上无法达成一致,以往微软的系统都没有安装SUN的Java软件,而是微软自己的Java虚拟机。
而从Windows XP SP1a开始,微软的产品已经不再有Java的影子,这意味着大多数未使用Java程序的Windows用户不会受到此次Java漏洞的影响。但是,安全专家Friedrichs警告说,用户最好还是应该及时更新他们的系统。他说:“由于使用Java的用户非常之多,我们还是建议用户打上所有的更新和补丁。”
