您的位置: 旅游网 > 情感

NetScape的Java里发现严重的安全漏洞

发布时间:2019-09-13 19:25:40

<!—Web站点能够访问使用Navigator的计算机。-->

在某一版本的网景Navigator和Communicator浏览器的Java解释器里,发现了严重的漏洞,这个漏洞允许基于Web的程序访问客户机上的任何文件。这一漏洞还让同样的Java代码能象Windows资源管理器一样,浏览、访问被攻击的计算机所能看到的其它计算机上的文件。

还没有来自网景方面的补丁程序,唯一有效的解决办法就是:要么关闭Java,要么不使用网景的产品,或者使用防火墙,在防火墙上进行“保守”设定。

在Windows 9x,Windows NT/2K和Linux上打开了Java和可下载插件时,这一问题产生影响,影响所有版本的网景Navigator浏览器以及4.74版本以前的Communicator。目前的beta版本Mozilla,没有这个漏洞,而任何版本的微软IE浏览器也没有这个漏洞。如果在网景浏览器里禁用了Java,也不会出现这个问题。

安全专家把这个安全漏洞描述为“严重的”漏洞,它允许基于Web的Java代码,在使用网景浏览器的客户端上开始一个服务器进程。任何恶意站点都可以在Web页里使用这类基于Web的程序,而恶意的骇客攻进入某个站点之后,也可以把此类代码种植在站点的Web页里。

恶意代码一经执行,这个漏洞就使非法的服务器进程访问系统上的所有文件,以及所有本地网络连接上的所有文件,比如Windows驱动器共享,访问是通过“file:”这样的URL调用,这种共享能够通过运行浏览器的计算机进行访问。

非法的服务器程序能够分发额外的代码和外部的Web页。这样,服务器程序就能向恶意站点发送文件和其它信息,甚至能够继续攻击更多的计算机。

恶意站点或恶意用户可能使用这种攻击窃受害计算机上包含电子邮件、财务信息甚至Windows口令的文件,而浏览器不会发出任何警告。但是,这种Java代码还不能覆盖访问Windows NT/2K或Linux计算机上的访问控制列表(ACL),ACL能够防止未授权用户随意拷贝或写入文件,这让我们稍稍松了口气。

这一漏洞是Dan Brumleve发现的,他是硅谷的一位计算机咨询专家。这个漏洞访照BackOrifice,起了一个昵称“Brown Orifice,”,部分原因是因为咖啡(Java的小标记)的颜色,以及与几年前臭名昭著的Back Orifice 远程控制程序的相似性。

Brumleve 通知了卡耐基·梅伦的CERT 协作中心,以及Bugtraq的新闻邮件。

互联网安全系统研发小组-X-force的Chris Rouland,把这个漏洞标记为严重。“这个漏洞非常像BackOrifice,但是,用它的方法更多,而且可以在任何Web站点上使用它。”

Rouland 建议了几种防卸这一威胁的方法。第一个建议是使用带有“保守”设置的防火墙和入侵检测系统,虽然防火墙不一定要阻止Java代码进入计算机。其它建议包括在浏览器里禁止Java,或者停止使用网景浏览器,换用其它浏览器,直到网景发布了修正程序为止。

小孩半夜流鼻血是什么原因
新生儿消化不良
幼儿眼屎多
小孩儿不爱吃饭
猜你会喜欢的
猜你会喜欢的