安全研究
安全漏洞
Symantec Java! JustInTime编译器远程命令执行漏洞
发布日期:2002-11-21
更新日期:2002-11-28
受影响系统:Symantec Java! JustInTime Compiler 210.65
描述:
BUGTRAQ ID:
6222
Netscape Communicator/Navigator的JVM实现使用了Symantec Just In Time(JIT)编译器,Java虚拟机在共享动态实现,并默认被Netscape Browser使用。
Netscape Communicator使用的Java! JustInTime编译器对部分特殊Java字节码处理不正确,远程攻击者可以利用这个漏洞构建恶意Java Applet,诱使用户打开,在目标用户JVM环境中以用户权限在系统上执行任意指令。
Java! JustInTime编译器在从特殊构建的Java字节码中生成Intel指令时存在问题,一个恶意构建的applet如果有此编译器编译的情况下,可能导致重定向程序到攻击者控制的内容中,从而使用户提供的指令绕过Java Sandbox检查以当前JVM进程权限在系统上执行任意指令。
<*来源:LSD (
contact@lsd-pl.net)
链接:
http://www.lsd-pl.net/documents/javasecurity-1.0.0.pdf
*>
建议:
临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 从Netscape安装目录中删除相关库来关闭JIT编译器操作。
厂商补丁:
Symantec
--------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.symantec.com/浏览次数:2755
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载 绿盟科技给您安全的保障 |