À Á Â Ã Ä Å Æ Ç È É Ê Ë Ì Í Î Ï Ð Ñ Ò Ó Ô Õ Ö Ø Œ Š þ Ù
고딕 (Gowdiak)은 말했다.
[추가 정보 : 맬웨어를 제거하는 방법]은 오라클이 해결할 때까지 공개적으로 취약점에 대한 기술적 세부 사항을 공개 할 계획이다. Windows PC] 오라클은 목요일에 정기적으로 4 개월간 패치를 실시하여 Java 7 Update 7을 출시했습니다. Java 7 Update 7은 공격자가 악성 코드로 컴퓨터를 감염시키는 데 사용 된 두 가지 취약점을 포함하여 세 가지 취약점을 해결하는 긴급 보안 업데이트입니다. Java 9 Update 7은 오라클에 따르면 직접 악용 될 수는 없지만 다른 취약점의 영향을 악화시키는 데 사용될 수있는 "심층 보안 문제"를 패치했습니다.
패치 Gowdiak이 "exploitation vector"라고 부르는 "보안 심층 보안 문제"중 폴란드 보안 회사가 Oracle에 제출 한 Java Virtual Machine (JVM) 보안 우회 기술을 모두 PoC (proof-of-concept) 고아 덕크 (Gowdiak)에 따르면 Security Explorations는 Java 7의 29 가지 취약점을 4 월에 오라클에 개인적으로보고했으며 여기에는 공격자가 적극적으로 악용 한 두 가지가 포함되어 있습니다.
이 보고서에는 총 16 가지의 증명 - 의안 pt는 이러한 취약점을 결합하여 Java 샌드 박스를 완전히 우회하여 기본 시스템에서 임의 코드를 실행합니다.Java 7 Update 7의 sun.awt.SunToolkit 클래스 구현에서 getField 및 getMethod 메소드를 제거하면 모두 비활성화 됨 고아 덕크 (Gowdiak)는 "보안 익스플로잇의 PoC 익스플로잇 중 일부는 공격 코드가 제거 되었기 때문에 발생했다"고 전했다.
보안에 의해 발견 된 새로운 취약점 Java 7 Update 7의 탐색은 Oracle에서 패치되지 않은 일부 취약점과 결합하여 전체 JVM 샌드 박스 우회를 다시 수행 할 수 있습니다.
"업데이트가 적용된 후 완전한 Java 샌드 박스 우회 코드가 작동을 멈 추면 우리는 POC 코드를 다시 살펴보고 최신 Java 업데이트를 완전히 중단하는 방법에 대해 생각하기 시작했습니다. "라고 Gowdiak은 말했습니다. "새로운 아이디어가 나왔다. 그것이 확인되었고 이것이 그 것으로 밝혀졌다."고 말했다.
Gowdiak은 4 월 Security Explorations에서보고 한 나머지 취약점이나 보안 회사가 제출 한 새로운 취약점
오라클이 이전에 계획했던대로 10 월에 새로운 자바 보안 업데이트를 발표 할지는 확실하지 않다. 회사 측은 즉각적인 답변을 요구하지 않았다. 보안 연구자들은 벤더들이보고 된 취약성을 처리하는 데 너무 많은 시간을 할애한다면 악의적 인 사람들에 의해 발견 될 수 있다고 경고했다. 그것에 대해.
여러 버그 사냥꾼이 동일한 제품에서 동일한 취약점을 독립적으로 발견 한 경우가 여러 차례 발생했으며, 이는 Java 7 Update에서 해결 된 두 가지 적극적으로 악용 된 Java 취약점의 경우에도 발생할 수 있습니다 "
"독립적 인 발견은 결코 배제 될 수 없다 "고 고우 디악은 말했다. 그러나이 새로운 문제는 발견하기가 다소 어려울 수 있습니다. "
Java Explosations 연구원이 Java 취약점에 대한 사냥을 한 경험에 비추어 볼 때 Java 6은 Java 7보다 향상된 보안 기능을 제공합니다. "Java 7은 놀랍도록 훨씬 쉬웠습니다"라고 Gowdiak은 말합니다. "Java 6의 경우, Java 소프트웨어 용 Apple Quicktime에서 발견 된 문제를 제외하고는 완전한 샌드 박스 손상을 달성하지 못했습니다."Gowdiak은 많은 보안 연구가들이 이전에 말한 바를 되풀이했습니다. Java, 시스템에서 제거하십시오.
릴리스 이후 Java 7 패치 시간에 중요한 취약점 발견 연구원은 릴리스 이후 Java 7 패치 시간에 치명적인 취약점 발견 폴란드 기반 보안 회사 인 Security Explorations의 보안 연구원은 폴란드 보안 업체 인 Security Explorations의 보안 연구원은 목요일에 발표 된 Java 7 보안 업데이트에서 Java 샌드 박스를 벗어나 임의 코드를 실행할 수있는 취약점을 발견했다고 주장했다.
Security Explorations는 금요일에 오라클에 대한 취약성에 대한 보고서를 금요일에 개념 증명 익스플로잇과 함께 보냈다고 보안 회사의 설립자이자 CEO 인 Adam Gowdiak는 이메일을 통해 금요일에 말했다.
Cisco 제품은 인증, 서비스 거부, 많은 제품의 NTP 결함을 패치합니다. RV220W 무선 네트워크 보안 방화벽의 치명적인 취약점을 포함하여 광범위한 제품에 영향을 미치는 결함이 있습니다. 시스코 시스템즈 (Cisco Systems)는 이번 주에 치명적인 취약점을 포함하여 다양한 제품에 영향을 미치는 결함에 대해 새로운 보안 패치 배치를 발표했습니다. RV220W 무선 네트워크 보안 방화벽에서 발생합니다.
RV220W 취약점은 방화벽의 웹 기반 관리 인터페이스로 전송 된 HTTP 요청의 입력 유효성 검사가 충분하지 못하기 때문에 발생합니다. 이로 인해 원격 인증되지 않은 공격자는 대상 장치의 인증을 우회하여 공격자에게 관리자 권한을 부여하는 헤더에 SQL 코드가있는 HTTP 요청을 보낼 수 있습니다.
