Java JRE未明任意代码执行漏洞

漏洞起因
设计错误
危险等级

影响系统
Java 7 Update 6及其他版本

不受影响系统

危害
远程攻击者可以利用漏洞以应用程序上下文执行任意代码。

攻击所需条件
攻击者必须构建恶意WEB页,诱使用户解析。

漏洞信息
Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。
FireEye公司发布新Java 0day公告,目前0DAY已经对有限的目标进行攻击,根据测试安装了JRE version 1.7 update 6的系统(其他系统也可能)受此漏洞影响。攻击者可以构建恶意WEB页,诱使用户解析,可以应用程序上下文执行任意代码。
漏洞利用了Gondzz.class和Gondvv.class进行攻击。
目前根据Rapid测试,如下版本确认受此漏洞影响:
Windows 7 SP1 with Java 7 Update 6
Mozilla Firefox on Ubuntu Linux 10.04
Internet Explorer / Mozilla Firefox / Chrome on Windows XP
Internet Explorer / Mozilla Firefox on Windows Vista
Internet Explorer / Mozilla Firefox on Windows 7
Safari on OS X 10.7.4

测试方法
http://pastie.org/4594319

厂商解决方案
目前没有详细解决方案提供:
http://www.oracle.com

漏洞提供者
Adam Caudill

评论关闭。