甲骨文补丁利用Java漏洞在SSL BEAST攻击

发布时间:2011-10-20 浏览: 来源:安群网络科技有限公司

        甲骨文已经发布了一个新的Java安全更新,以解决多个漏洞,其中包括在最近披露的攻击,可以利用加密通信的窃听。

        在Ekoparty安全会议在布宜诺斯艾利斯,安全研究人员Juliano RizzoThai Duong上个月展示了一个实用的方法截获SSL(安全套接字层)和TLS(传输安全层)流量。

        他们的人在这方面的中间人攻击,被称为SSL / TLS浏览器漏洞对,利用长已知的理论问题,从而影响目前在互联网上使用SSL和TLS的实现。

        拉断的攻击,平阳和佐绕过浏览器的相同来源政策,一个核心的安全机制,防止互相干扰,利用在Java中的一个漏洞插件,不同的打开网站。

        CVE - 2011 - 3389,该漏洞几乎导致Firefox开发者禁止以下 BEAST的披露浏览器的Java。但是,不能达成一个协议,可能的行动方针,因为这样的决定已经打破,许多应用,尤其是其中的Java被广泛使用的企业环境。

        Mozilla周二正式宣布,现在阻断Java,特别是自甲骨文发布修复该漏洞 。“我们不会阻止脆弱的Java版本,在这个时候,虽然我们会继续密切留意在野外利用此漏洞的事件,浏览器制造商说。”

        然而,值得指出,部署补丁不完全缓解 BEAST,因为Java仅仅是理论上可以被利用来达到同样的效果的几种技术之一。

        一个完整的解决将涉及迁移到TLS 1.1版本的协议,不容易受到这种攻击,并已自2006年以来整个互联网。然而,这说起来容易,做起来难,不是一朝一夕的事。

        尽管其唯一的已知的野兽实施至今的重要性,这个Java漏洞不会有很高的风险评级。根据相应的Oracle咨询,CVE - 2011 - 3389的最高10 4.3规模的CVSS(通用漏洞评估系统)的基本分数 。

        新的Java更新处理的其他漏洞被认为是更重要的,如五个最大额定任意代码执行各个组成部分缺陷,伴随着几个未公开的。一个单独的SSL / TLS的问题影响的Java应用程序沙箱和一个DNS缓存中毒错误也得到修复。

在线质询 售后服务
售前咨询-谢QQ:458431995 点击这里给我发消息 售前咨询-吕QQ: 点击这里给我发消息 售前咨询QQ:1589795052 点击这里给我发消息 售后客服QQ: 点击这里给我发消息

浏览排行

安装Mac OSX Lion 的完整指南 Adobe推出HTML5的富媒体编辑器 Mac OS X可以不正确撤销狡猾的数字 DevExpress是触摸开发工具升级的重 免费的VSS中DiscountASP.NET宣布TF 苹果船舶IOS 5.0.1电池的修复补丁 Whamcloud想使Lustre更容易使用 谷歌的Adwords如何使用关键字的搜 对于在工作中的iPad,第2轮Office

最新资讯

微信并没有申请第三方支付牌照 工信部谢雨琦 数据中心建设布局应 美国十大最幸福科技公司 谷歌第四 毛伟收获IPv6先锋奖 整体域名服务 百兆宽带下 更好的服务成运营商竞 亚马逊云计算营收可达10亿美元 谷歌光纤五大益处:不再承受缓冲之 鹏博士2012年净利润2.07亿元 同比 联通亦庄IDC试点引入SDN 节点数量
Live Chat by comm100