一個在五個月前就被發現並已被昇陽修補的Java漏洞,卻留遺留在蘋果OS X作業系統中。使得資安研究人員Landon Fuller在本周發表概念性驗證程式以提醒蘋果該漏洞的嚴重性。
此一已由昇陽修補的CVE-2008-5353漏洞可讓惡意程式避開Java沙箱,並執行使用者權限內的任意命令。專門開發蘋果安全程式的Intego說明,該漏洞可能導致偷渡式(drive-by)攻擊,當使用者造訪含有惡意Java程式的網站時便會受到影響。
Intego指出,駭客可透過該漏洞執行或存取/刪除蘋果電腦上的檔案,此外,駭客若結合權限擴張漏洞,便能遠端執行任何系統等級的程式以及完整存取任何蘋果電腦。
該漏洞影響蘋果作業系統中的JVMs(Java虛擬機器)以及Soylatte 1.0.3,但未波及最新的OpenJDK6/Mac OS X。
Fuller及Intego皆指出,蘋果早在五個月前就知道該漏洞,但蘋果卻遲遲未修補。Fuller表示,看起來像是沒有充份證明其嚴重性時,許多Mac OS X的安全問題都會被忽視,現在該漏洞的攻擊程式已出爐,而且漏洞資訊早就在半年前就公開,因此他決定釋出概念性驗證程式。
Fuller的用意在於警告蘋果,他建議Mac OS X用戶暫時關閉瀏覽器中的Java程式功能,以及關閉Safari中下載後開啟安全檔案的功能,以避免受到該漏洞的危害。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement