周一发现了一个签名的Java漏洞利用该网站属于德国开姆尼茨工业大学,受到一个名为g01pack的网络攻击工具包的感染,安全研究人员Eric Romang在一篇博客文章中称,“这绝对是go01包”,威胁情报总监Jindrich Kubec说。反病毒厂商Avast通过电子邮件表示。他说,这个签名的Java漏洞的第一个例子在2月28日被发现。
[进一步阅读:如何从你的Windows PC中删除恶意软件]
目前还不清楚这个漏洞利用是针对新的漏洞还是一个已经修补过的较老的Java缺陷。甲骨文周一发布了新的Java安全更新,以解决两个关键漏洞,其中一个被攻击者积极利用。
传统上,Java漏洞作为未签名的小程序提供 - Java Web应用程序。这些小应用程序的执行过去在较早的Java版本中是自动执行的,这使得黑客可以发动对受害者完全透明的驱动式下载攻击。Java 7中的证书撤销检查设置
从1月发行版开始在Java 7 Update 11中,基于Web的Java内容的默认安全控制设置为高,提示用户在允许小应用程序在浏览器内部运行之前进行确认,而不管它们是否经过数字签名。
防病毒供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu通过电子邮件表示,数字签名是确保用户可以信任自己的代码的重要组成部分。他表示,对于签名代码显示的确认对话框比离散代码中显示的确认对话更具有离散性和威胁性,他说。“此外,Java本身处理签名和未签名代码的方式不同,并适当地强制执行安全限制”,Botezatu说过。例如,如果Java安全设置设置为“非常高”,则未签名的小程序根本无法运行,而签名的小程序将在用户确认操作时运行。在执行非常高的Java安全性设置的公司环境中,代码签名可能是攻击者在目标系统上运行恶意小程序的唯一方式,他说。
Java 7更新17中签名Java小程序的安全警告示例
这个新的Java漏洞也揭示了Java在默认情况下不检查数字证书吊销的事实。
研究人员星期一发现的漏洞利用最可能被盗的数字证书签名。该证书由Go Daddy颁发给位于德克萨斯州奥斯汀的名为Clearesult Consulting的公司,后来被撤销,日期为2012年12月7日。
在Java控制面板的“高级”选项卡上的“高级安全设置”类别下,有两个选项“使用证书吊销列表(CRL)检查证书以进行吊销)“和”启用在线证书验证“ - 第二个选项使用OCSP(在线证书状态协议)。这两个选项默认都是禁用的。
甲骨文公司在英国的公关部门周二表示,甲骨文目前对此问题没有任何评论。“为了方便而牺牲安全性是一种严重的安全漏洞,尤其是Java作为最有针对性的第三方软件的软件自2012年11月,“Botezatu说。然而,甲骨文公司并不孤单,他指出,Adobe公司发布Adobe Reader 11时出于可用性原因默认禁用了重要的沙箱机制。
Botezatu和Kubec都相信攻击者将越来越多地开始使用数字签名的Java以便更容易地绕过Java的新安全限制。
安全公司Bit9最近透露,黑客入侵了其中一个数字证书并用它来签署恶意软件。 Botezatu表示,去年,黑客对Adobe公司的数字证书也做了同样的处理。
这些事件和这个新的Java漏洞证明有效的数字证书最终可能会签署恶意代码。在这种情况下,主动检查证书吊销是特别重要的,因为它是证书泄密情况下唯一可用的缓解措施,他说。
每天在浏览器中需要Java的用户应考虑启用证书吊销检查以更好地执行波兰脆弱性研究公司Security Explorations的创始人Adam Gowdiak表示,通过电子邮件防止利用被盗证书的攻击。安全研究人员在过去一年中发现并报告了超过50个Java漏洞。
虽然用户应该手动启用这些证书撤销选项,但考虑到他们甚至不安装安全更新,其中很多人可能不会这样做,Kubec说。研究人员希望Oracle能够在未来的更新中自动启用该功能。