微软JVM缺陷结伴而来 黑客可“为所欲为”
|
|
|
作者:月牙儿 编译 来源:eNet 加入时间:2002-12-14 |
| |
【eNews消息】当地时间12月11日晚些时候,微软公司针对其JVM中一系列缺陷发布了一个等级为“紧急”的安全公告,其中的一个缺陷可能会使黑客窃取用户计算机上的信息或格式化硬盘。
微软公司之所以给予该JVM中的缺陷以最高的警报等级,是因为黑客可能造成的危害相当多。据微软公司在安全公告中表示,最严重的缺陷可能使黑客利用Java applet获得用户系统的控制权,这将使黑客能够在用户的系统上为所欲为。例如,黑客可以任意地添加、删除或修改数据,与网站通讯、加载、运行软件,格式化硬盘等等。
黑客完全可能利用该缺陷,因为缺陷出在微软公司的JVM处理调用COM对象的软件的方式上。微软公司在公告中称,尽管JVM中有阻止Java applet调用COM对象的安全机制,但有一种调用方法能够绕过这一安全机制。黑客可以利用Web网站或基于HTML的电子邮件发动攻击。
微软公司在安全公告中表示,二个等级为“重要”的缺陷“能够使黑客读取━━但不能改变、添加或删除其他用户系统中的数据,另外,黑客还可能读取用户具有读权限的网络连接上的文件。这二个缺陷都出在JVM处理Java Applet标记的方式上,这就使得黑客能够创建一个从不是用户的浏览器正在访问的网站上加载的Java applet。利用这一缺陷,黑客只能读取该用户有权访问的所有数据,但不能删除或修改。
二个等级为“中等”的缺陷中的第一个能够使黑客的Java applet来自浏览器中的另一个网站,黑客然后可以利用伪造的网站收集用户的个人资料。第二个缺陷出自微软公司连接数据库的API中,它能够使黑客伪装成另一名用户访问数据库,使黑客读取、添加、删除、改变用户有权访问的任何数据源中的数据。
三个等级为“低”的缺陷中的二个能够给用户带来麻烦。一个会使JVM不能运行,另一个会使IE崩溃。但第三个缺陷会使黑客窃取用户的用户名。
微软公司建议,所有Windows将其JVM升级到较新的版本。
周三,微软公司还发布了针对二个缺陷的安全公告,其中一个会使黑客获取计算机的控制权,另一个使得黑客能够改变组策略。 |
|
|
相关文章:
相关软件:
|
