Google Project Zero所披露Java漏洞的非官方补丁已发布

22.png

针对Google Project Zero研究员Mateusz Jurczyk发现的Oracle Java Runtime Environment(RE)安全漏洞的非官方安全补丁已经发布。

在2月18日,Google Project Zero的安全专家公开披露的由于堆的越界读取缺陷所引起的四个Java RE漏洞的详细信息。Project Zero的安全专家把它们标记为1779178017811782,并把它们评为“中等严重”。

专家使用了模糊测试技术去测试TrueType和OpenType字体,最后在TrueType和OpenType字体的流程中发现了安全漏洞。

Google Project Zero于2月12日向Oracle报告了这一漏洞,然后它决定公开这些漏洞的技术细节,此前甲骨文表示只会在未来的Java版本中解决这些漏洞。Oracle表示:“这些漏洞并不能帮助攻击者直接控制用户系统”。而在3月中旬,Oracle宣布并决定在未来的Java RE中修补它们。

而在最近,ACROS Security的0patch宣布推出自己的补丁,用于解决Google Project Zero发现的两个漏洞,Java用户可以免费获得这些漏洞的补丁。

33.png

这些安全补丁会在检测到越界访问时阻止java.exe的执行。

44.png

0patch发布的推文表示:“这两个漏洞都是用类似的方式进行临时修复:当检测到越界访问时,就会终止java.exe的执行,并报告“漏洞被阻止”。我们觉得尝试过滤恶意输入风险太大,攻击者有可能轻易就绕过。”

55.png

这些补丁仅适用于Java 8 update 202。

“请注意,这些补丁仅适用于Java 8 update 202,这是一个“PSU”(“补丁集更新”,请参阅),因为漏洞发现者Project Zero的@j00ru正是在这个版本上做的漏洞挖掘。”

当然,专家们一致认为,这些漏洞不会给Java RE的用户带来严重的安全风险。

Oralce计划在4月16日发布下一代CPU,让我们看看它是否会发布针对这些漏洞的补丁。

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/83491/breaking-news/java-re-unofficial-patches.html
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐