转载

两年来首次发现Java 0day漏洞

最近Oracle公司宣布了一个近两年以来首个Java 0day漏洞，它影响着Java Web Start的应用程序沙箱和Java applets的沙箱。考虑到此漏洞正在被利用，加上它便于开发，根据CVSS（通用漏洞评分系统）给此漏洞以最高风险级别的评分。 Oracle公司已经发布了一个补丁，并敦促客户尽快升级。

该漏洞被确认为 CVE-2015-2590 ，它是趋势科技的智能防护网络在分析一些针对北约成员国和美国国防组织的电子邮件后被发现的。这些电子邮件包含了一些链接，指向了Java applets的网站，这些Java applets利用上述漏洞，允许在受害者电脑上执行远程代码。

重要的是要知道这个漏洞并不会影响整个Java运行环境，只影响Java Web Start程序和Java applets。它不会影响到服务器部署的应用，甚至也不会影响在本地运行的客户端部署的Java应用程序。这意味着用户只要不导航到包含这类应用的网站，就不会有危险。但是对于那些已经做了危险操作的人， Oracle根据用户的属性确定了2个等级的风险。

由于这种漏洞允许活动中的用户执行代码，所以它所造成的影响依赖于这个用户是否拥有管理员权限。在Linux和Solaris系统、还有Windows系统，比如Windows Vista或之后的系统，用户通常是没有管理员权限的（在Windows Vista和之后的系统中，用户可能有这样的权限，但是需要一个明确的确认，进入提升模式来获取管理员权限）；针对这种情况，Oracle公司的CVSS评分是7.5（总分10分）。然而，一些系统像Windows XP，它的使用者仍然占有很大的比重，这些用户通常是标准用户，系统直接授予他们管理员权限。这使得他们特别容易受到远程代码执行的攻击。针对这类情况，Oracle评分为10分（总分10分）。

Oracle公司在7月14日，发布了一个针对这个漏洞的修复，并将其作为他们CPU计划的一部分，或者关键补丁的更新。CPU每个季度发布一次版本，并且每次都包含上一个季度漏洞的修复。很可能是因为漏洞是在计划更新时间的前不久发现的，所以将这个漏洞的修复作为计划升级的一部分。如果此漏洞是在其他时间发现，Oracle公司很可能发布一个计划之外的安全警告更新，就像曾经发生过的漏洞CVE-2013-1493一样。

查看英文原文： First Zero-Day Java Vulnerability in Two Years

感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群两年来首次发现Java 0day漏洞）。