安全研究

紧急通告
绿盟科技紧急通告(Alert2013-01)

NSFOCUS安全小组(security@nsfocus.com)
http://www.nsfocus.com

Oracle Java 7 JmxMBeanServer类远程代码执行漏洞

发布日期:2013-01-11

CVE ID:CVE-2013-0422

受影响的软件及系统:
====================
Oracle Java 7 update 10及以下版本

综述:
======
Oracle Java Runtime Environment存在一个严重安全漏洞,远程攻击者可能利用此漏洞通过诱使用户访问恶意网页执行任意指令。

此漏洞影响Oracle Java 7版本,已经被利用来进行网页挂马攻击。目前oracle已经提供安全补丁,请oracle java用户尽快安装最新补丁。

分析:
======
Oracle Java Runtime Environment是一款为JAVA应用程序提供可靠的运行环境的解决方案。

Oracle JRE7环境中的jmx.mbeanserver.JmxMBeanServer类存在沙盒绕过漏洞使得远程攻击者可以绕过java securityManager的检查远程执行任意java代码控制用户系统。

目前已知受影响环境为最新版本Oracle JRE7 update 10。经测试Oracle Java 6不受影响。

解决方法:
==========
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:

* 在浏览器中暂时禁用Java

  参考:http://krebsonsecurity.com/how-to-unplug-java-from-the-browser/

对于Windows用户:

1) Firefox

  工具->附加组件(Ctrl-Shift-A)->插件,将所有带有Java字样的禁用,重启Firefox。

  安装NoScript扩展,NoScript选项->嵌入的对象->禁止Java

2) Chrome

  点击右上角的扳手->设置->点击最下面的"显示高级设置"->隐私设置->内容设置->插件
  ->停用单个插件->Java->停用

3) IE

  如果您已经升级到JRE 7 update 10可以利用它新增的一个安全特性来禁用JAVA。
  打开控制面板,搜索Java,在java控制面板中选择"安全",然后清空"Enable Java
  content in the browser"的复选框。
  http://www.java.com/en/download/help/disable_browser.xml

  对于JRE 7 update 10以下的版本:

  控制面板->Java->Java->查看->用户->禁用所有版本的JRE(Java运行时环境)

  控制面板->Java->Java->查看->系统->禁用所有版本的JRE(Java运行时环境)

  但是这一方法只适用于XP、2003,不适用于Vista、Win7等高版本的Windows,你无法清
  空相应的启用复选框。此时需要使用regedit修改注册表。

  这个注册表键值位于:
--------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in]

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Plug-in\<版本号>]
"UseJava2IExplorer"=dword:00000001
--------------------------------------------------------------------------
  所有版本的Java都有一个UseJava2IExplorer,其值缺省为1,修改成0即可禁用Java。


  如果是64位系统也安装了32位Java的话,相关注册表键值位于:

--------------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\JavaSoft\Java Plug-in\<版本号>]
"UseJava2IExplorer"=dword:00000001
--------------------------------------------------------------------------

厂商状态:
==========
Oracle已经发布了针对该漏洞的补丁Java 7 update 11和相关安全公告:
http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

建议Java用户尽快安装最新的升级包。

对于Windows 用户,首先您应当在控制面板->添加或删除程序(Win7下是控制面板->程序->程序和功能)中确认您是否已经安装java,以及安装的版本,例如是JDK还是JRE,是32位还是64位。如果您尚未安装Java,则不必继续下面的操作。

对于java开发人员,可以从下列链接手工下载最新的Java SE JDK 7和 JRE 7: http://www.oracle.com/technetwork/java/javase/downloads/index.html

对于通过浏览器使用Java SE的普通用户,可以直接访问http://java.com ,根据提示信息下载最新的java JRE。如果您在使用64位Windows系统,您可能需要分别使用32位和64位的浏览器来访问java.com以分别下载32位和64位的JRE。

附加信息:
==========
1. http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
2. http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
3. http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
4. http://pastebin.com/raw.php?i=cUG2ayjh
5. http://www.nsfocus.net/vulndb/22082
6. http://www.nsfocus.net/index.php?act=alert&do=view&aid=131
7. http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html

声 明
==========

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技(NSFOCUS Co., Ltd.)是中国网络安全领域的领导企业,致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务,在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品,是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见: http://www.nsfocus.com

© 2024 绿盟科技