警惕：Java运行时环境图形溢出漏洞攻击

显示全部楼层 · 发表于 2007-1-21 10:14:20

出处：DSW Avert 时间：2007年01月20日

今日，DSW Lab Avert小组监测到Java运行时环境(JRE)的GIF图形缓冲区溢出漏洞攻击代码被公布，国内一黑客团体公开了相关测试代码，攻击者构造恶意网页，可以远程完全控制用户的计算机。
受影响的系统：

Sun JRE <= 5.0 Update 9
Sun JRE <= 1.4.2_12
Sun JRE <= 1.3.1_18

漏洞描述：

如果有效GIF文件的图形块中图形宽度被设置为0的话，Java运行时就会分配指定的大小，但之后会将所有数据拷贝到大小不足的内存块中。溢出会导致多个指针破坏，之后的操作至少引用了其中的一个，因此可能导致执行任意代码。

解决方案：
1、推荐使用厂商推出的补丁，下载地址：http://sunsolve.sun.com/search/p ... etkey=1-26-102760-1。

2、推荐安装超级巡警来即时监测木马。
注：漏洞信息来自绿盟科技：http://www.nsfocus.net/vulndb/9825

更多详细信息：

http://www.zerodayinitiative.com/
http://www.zerodayinitiative.com/advisories/ZDI-07-005.html
http://sunsolve.sun.com/search/p ... etkey=1-26-102760-1

版权所有：数据安全实验室
http://www.dswlab.com
http://www.unnoo.com
Copyright(c) DSW Lab All rights reserved

[ 本帖最后由 wulujia 于 2007-1-21 10:16 编辑 ]

显示全部楼层 · 发表于 2007-1-21 21:13:18

唉！漏洞怎么这么多