1月11日と1月13日にJava7Update 10のゼロデイセキュリティの脆弱性に関する技術記事を読んでいたところ、Oracleが同じ脆弱性に対するパッチアップデート11の修正をリリースしたことがわかりました。しかし、すべてのニュースには表面的なデータが含まれていました。
誰かが脆弱性とは何か、そして修正は何であったかを説明できますか?
3 に答える
3
AFAIK、Java 7のMethodHandleネイティブコードに「中」レベルのセキュリティモデルを備えたアプレットがあり、SecurityManagerがすでにある場合でも設定を解除できるというバグがありました。これにより、ローカルプログラムに効果的にアクセスできるようになりました。プロセスと同じアクセス権があります
これは、セキュリティレベルが推奨され、デフォルトである「高」の場合は発生しませんでした。
つまり、最初にセキュリティレベルを下げる必要がありましたが、バグによってセキュリティレベルが本来よりも低くなりました。;)
于 2013-01-15T09:32:01.460 に答える
1
あなたはそれについて読むことができます...リリースノート
http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
バグの説明は http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.htmlにあります。
于 2013-01-15T09:33:00.540 に答える
1
分析はここで見つけることができます:
https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf
sun.reflect.Reflection.getCallerClass(int)つまり、新しく導入されたReflectionAPIを正しく処理できないということです。
于 2013-01-15T09:50:28.587 に答える