Java 7 Update 10中的零天安全漏洞
我在1月11日和1月13日阅读了关于Java 7 Update 10中零日安全漏洞的技术文章,我了解到Oracle已经发布了针对相同漏洞的修补补丁更新11。但所有的新闻都只是包含了肤浅的数据Java 7 Update 10中的零天安全漏洞,java,security,Java,Security,我在1月11日和1月13日阅读了关于Java 7 Update 10中零日安全漏洞的技术文章,我了解到Oracle已经发布了针对相同漏洞的修补补丁更新11。但所有的新闻都只是包含了肤浅的数据 有人能解释漏洞是什么以及修复方法是什么吗?好的,有一个错误,Java 7的Method中具有“中等”级别安全模型的小程序处理本机代码,允许您取消设置SecurityManager,即使您已经有了。这有效地为您提供了本地程序的访问权限。它将具有与进程相同的访问权限 如果您的安全级别为“高”,则不会发生这种情况
有人能解释漏洞是什么以及修复方法是什么吗?好的,有一个错误,Java 7的Method中具有“中等”级别安全模型的小程序处理本机代码,允许您取消设置SecurityManager,即使您已经有了。这有效地为您提供了本地程序的访问权限。它将具有与进程相同的访问权限 如果您的安全级别为“高”,则不会发生这种情况,这是推荐的默认值
i、 e.您必须先降低安全级别,但该漏洞将其降低到了应有的水平 AFAIK,有一个bug,在Java 7的MethodHandle中,一个具有“中等”级别安全模型的小程序处理本机代码,该代码允许您取消设置SecurityManager,即使您已经有了SecurityManager。这有效地为您提供了本地程序的访问权限。它将具有与进程相同的访问权限 如果您的安全级别为“高”,则不会发生这种情况,这是推荐的默认值
i、 e.您必须先降低安全级别,但该漏洞将其降低到了应有的水平 你可以读一下。。。发行说明 错误描述可在以下位置找到:
你可以读到它。。。发行说明 错误描述可在以下位置找到:
可以在此处找到分析:
归结起来就是sun.reflect.Reflection.getCallerClass(int)没有正确处理新引入的反射API。可以在这里找到分析:
它归结为
sun.reflect.Reflection.getCallerClass(int)High(推荐)High(推荐)