Google工程師揭露Java零時差漏洞

Google資安工程師Tavis Ormandy上周揭露了Java零時差漏洞，駭客得以利用該漏洞於使用者電腦上執行任意程式。

該漏洞是因Java開發套件對參數驗證不足所造成的。根據Ormandy的解釋，Java原本是透過Java Web Start（JWS）讓Java開發人員允許使用者藉由URL存取Java網路執行協定（.jnlp）以執行及安裝應用程式，但自Java 6第十更新版後，昇陽則提供了Java開發套件（Java Deployment Toolkit，JDT）來簡化開發人員散布應用程式的程序。

JDT所扮演的角色是把所接收的URL字串傳遞給JWS註冊處理程序，但Ormandy發現，JDT僅提供最基本的URL參數認證，導致他得以傳遞任何參數到JWS中，還能藉由命令列引數（command-line arguments）行使JWS的完整功能以讓該錯誤成為可被攻擊的漏洞。

Ormandy指出，只要是Java SE 6 update 10以後且支援微軟視窗的版本都受到該漏洞影響，關閉Java外掛程式功能並無法避免受到攻擊，因為JDT為獨立安裝套件。Ormandy相信非Windows版本可倖免於難。

不過，Qualys技術長Wolfgang Kandek表示，該漏洞允許駭客在目標電腦上執行遠端程式，而且使用者只要造訪一個簡單的網頁就可能觸動攻擊。

Ormandy說，昇陽已被告知該漏洞的存在，但昇陽的反應是該漏洞並未重要到在每季更新之外提供緊急更新。Ormandy建議使用者在該漏洞被修補前關閉相關的控制工具。（編譯/陳曉莉）