安全公司Security Explorations报告发现最新版Java存在一个安全漏洞， 允许完全绕过沙盒安全机制。与此同时，甲骨文最近修复的Java漏洞被发现已经包含在黑客攻击工具包中，凸显了及时打补丁的重要性。Security Explorations称，它已经通知了甲骨文，并提供了攻击概念验证代码，漏洞在原始版本、Java 7 Updates 11和15（Updates 15是最新版本）上都有效。为了防止被黑客利用，漏洞的细节没有披露多少。
    由此不禁联想到 “JAVA零日漏洞”一个Java 0day被发现在APT和挂马中，被称之为cve-2012-4681。JRE7.x中存在提权漏洞，攻击者利用这个漏洞可以在本地运行任意代码。这个漏洞是基于JAVA的，可以影响多WINDOWS、LINUX/UNIX、MAC多个平台操作系统，老版本的JRE6并不受影响。因此使用老版本的JRE6比较放心可靠。
     该漏洞利用了Java 对代码执行权限机制的处理异常，可以完全绕过Java的沙盒保护机制，可能导致 Java用户的电脑被黑客轻易控制。攻击者利用漏洞通常可以构建挂马页面，诱使用户解析。当装有Java组件(JDK/JRE)的浏览器在访问这些恶意网页时，会被轻易地植入木马程序，进而导致黑客取得用户主机操作系统的控制权。”
　　早在2012年4月份，谷歌就揭露了Java存在的零日漏洞，但是短短一周之后，这个漏洞就被黑客利用以进行攻击。Java漏洞代码被公开，很可能会被黑客利用以攻入企业内部，进而窃取有价值的商业数据。Windows和苹果Mac操作系统的用户受感染之多。也说明Java零日漏洞在多系统平台上的普适性。此外，Java零日攻击还可能发生在移动设备上。
下面是摘录的关于Java 7存在远程代码执行零日漏洞的情况
一、漏洞情况分析
        Oracle Java 7（1.7, 1.7.0）是Oracle公司发布的为Java应用程序提供运行环境的产品，相关产品包括：Java SE 7、JDK 7、JRE 7，并支持当前主流浏览器插件扩展。由于Java 7对代码执行权限机制存在处理异常，一些未经信任的Java程序通过调用setSecurityManager（）函数可以实现权限提升，进而执行任意代码。攻击者利用漏洞通常可以构建挂马页面，诱使用户解析，在用户主机上执行木马程序，取得用户主机操作系统的控制权。
二、漏洞影响范围
        CNVD对该漏洞的综合评级为“高危”。
        受影响Oracle Java7（1.7，1.7.0）产品包括Java 7 update 10之前的版本，并且集成JAVA 7扩展插件的软件产品也会受到影响，如：当前主流的网页浏览器软件。互联网上已经出现针对该漏洞的网页挂马和恶意邮件攻击。
三、漏洞处置建议
        目前，Oracle尚未提供漏洞补丁信息，CNVD提醒广大用户随时关注厂商主页以获取最新版本。在此期间，建议用户采用临时解决方案：临时卸载Java 运行环境组件或禁用浏览器软件中的Java运行环境插件。

支持一下~  欢迎发帖~~~