甲骨文已经发布了一个新的Java安全更新,以解决多个漏洞,其中包括在最近披露的攻击,可以利用加密通信的窃听。
在Ekoparty安全会议在布宜诺斯艾利斯,安全研究人员Juliano Rizzo和Thai Duong上个月展示了一个实用的方法截获SSL(安全套接字层)和TLS(传输安全层)流量。
他们的人在这方面的中间人攻击,被称为SSL / TLS浏览器漏洞对,利用长已知的理论问题,从而影响目前在互联网上使用SSL和TLS的实现。
拉断的攻击,平阳和佐绕过浏览器的相同来源政策,一个核心的安全机制,防止互相干扰,利用在Java中的一个漏洞插件,不同的打开网站。
CVE - 2011 - 3389,该漏洞几乎导致Firefox开发者禁止以下 BEAST的披露浏览器的Java。但是,不能达成一个协议,可能的行动方针,因为这样的决定已经打破,许多应用,尤其是其中的Java被广泛使用的企业环境。
Mozilla周二正式宣布,现在阻断Java,特别是自甲骨文发布修复该漏洞 。“我们不会阻止脆弱的Java版本,在这个时候,虽然我们会继续密切留意在野外利用此漏洞的事件,浏览器制造商说。”
然而,值得指出,部署补丁不完全缓解 BEAST,因为Java仅仅是理论上可以被利用来达到同样的效果的几种技术之一。
一个完整的解决将涉及迁移到TLS 1.1版本的协议,不容易受到这种攻击,并已自2006年以来整个互联网。然而,这说起来容易,做起来难,不是一朝一夕的事。
尽管其唯一的已知的野兽实施至今的重要性,这个Java漏洞不会有很高的风险评级。根据相应的Oracle咨询,CVE - 2011 - 3389的最高10 4.3规模的CVSS(通用漏洞评估系统)的基本分数 。
新的Java更新处理的其他漏洞被认为是更重要的,如五个最大额定任意代码执行各个组成部分缺陷,伴随着几个未公开的。一个单独的SSL / TLS的问题影响的Java应用程序沙箱和一个DNS缓存中毒错误也得到修复。