安全研究人员警告说,网络罪犯已经开始使用带有数字证书的Java漏洞来欺骗用户,让恶意代码在浏览器中运行。
一个签名的Java漏洞被发现周一属于技术在德国开姆尼茨工业大学是感染了一个Web网站上的漏洞工具包称为g01pack安全研究员埃里克Romang周二在一,博客。
[ 背景:研究人员警告新的Java漏洞利用的正在被攻击者利用]
“这绝对go01包,”英德日赫Kubec,在反病毒厂商Avast的威胁情报总监,在电子邮件中说。漏洞是在2月28日检测到该签名的Java的第一个样品,他说。
目前还不清楚这个漏洞是针对一个新的漏洞还是一个已经修补过的旧Java漏洞。周一,甲骨文发布了新的Java安全更新,以解决两个关键漏洞,其中一个正被攻击者积极利用。
Java利用传统上是作为未签名的applet (Java Web应用程序)交付的。在旧的Java版本中,这类小程序的执行是自动的,这使得黑客可以发起驱动下载攻击,而这对受害者来说是完全透明的。
与Java 7更新11月发行版开始,基于Web的Java内容的默认安全控件设置为高,被允许之前的小程序内运行的浏览器,不管他们是否是数字签名或不提示进行确认的用户。
也就是说,使用签名的漏洞无符号的人确实提供了攻击者的利益,因为确认对话框在两种情况下显示在Java是相当不同的。未签名的Java小程序的对话框实际上是名为“安全警告”。
杀毒软件供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu在电子邮件中说,数字签名是保证用户信任你的代码的重要组成部分。他说,有符号代码的确认对话框比无符号代码的确认对话框更离散,威胁更小。
“此外,Java本身工艺符号和无符号代码不同,适当地加强了安全性的限制,” Botezatu说。例如,如果Java安全性设置都设置为“非常高”,未签名的小程序将无法运行,而如果用户确认操作签名applet将会运行。在非常高的Java安全设置强制实施企业环境,代码签名可能是唯一的方法攻击者运行一个目标系统上的恶意小程序,他说。
这个新的Java漏洞也暴露了一个事实,即Java在默认情况下不会检查数字证书撤销。
研究人员周一发现的漏洞是用数字证书签署的,很可能是被盗的。该证书由Go Daddy公司颁发给了一家名为Clearesult Consulting的公司,该公司总部位于德克萨斯州奥斯汀市,该证书随后被撤销,日期为2012年12月7日。
证书撤销可以适用追溯,究竟何时转到爸爸被判撤销该证书目前还不清楚。然而,在2月25日,漏洞检测的这个最古老的样品前三天,该证书已经被列为该公司发布的证书吊销列表吊销,Kubec说。尽管如此,爪哇认为该证书是有效的。
在Java控制面板的“高级”选项卡,在“高级安全设置”类别下,有两个选项称为“使用证书撤销列表(CRLs)检查证书撤销”和“启用在线证书验证”——第二个选项使用OCSP(在线证书状态协议)。这两个选项在默认情况下都是禁用的。
甲骨文没有关于在这个时候这个问题发表任何评论,在英国甲骨文的公关公司周二在电子邮件中说。
Botezatu说:“为了方便而牺牲安全是一个严重的安全疏忽,特别是自从2012年11月以来Java已经成为最受攻击的第三方软件。”然而,甲骨文并不是唯一这样做的公司,研究人员说,Adobe发布的adobereader 11由于可用性原因,默认禁用了一个重要的沙箱机制。
无论Botezatu和Kubec相信,攻击者将越来越多地开始使用数字签名Java的,以便更轻松地利用来绕过Java的新的安全限制。
安全公司故障Bit9近日透露,黑客破坏其数字证书之一,并用它来签名的恶意软件。去年,黑客做了与Adobe的受损数字证书相同。
这些事件和这一新的Java漏洞是证明有效的数字证书可以结束了签名的恶意代码,Botezatu说。在此背景下,积极检查证书撤消尤为重要,因为它是在证书妥协的情况下,唯一可用的缓解,他说。
谁需要Java技术每天都在浏览器用户应考虑启用证书吊销检查,以更好地抵御利用偷来的证书攻击,说亚当Gowdiak,波兰漏洞研究公司安全探索的创始人,通过电子邮件。安全性探索研究人员已经发现并报道过50的Java漏洞在过去的一年。
虽然使用者必须手动启用这些证书吊销选项,其中许多人可能不会做到这一点考虑,他们甚至不安装安全更新,Kubec说。研究人员希望,甲骨文将在以后的更新自动开启功能。