Java 7更新10中的零日安全漏洞

Question

1月11日和13日，我读了一些关于Java 7 Update 10中的零日安全漏洞的技术文章，了解到Oracle已经发布了针对相同漏洞的修补程序更新11。但所有的新闻都只是表面的数据。

有谁能解释一下哪些是漏洞，什么是解决办法？

Answer 1

AFAIK存在一个bug，在Java 7的MethodHandle本机代码中，有一个带有“中等”安全模型的小程序允许您解除SecurityManager，即使您已经设置了一个。这实际上使您可以访问本地程序。它将具有与进程相同的访问权限。

如果您的安全级别是“高”的，这是推荐的和默认的，则不会发生这种情况。

也就是说，您必须首先降低您的安全级别，但是这个bug降低了它应该降低的级别。;)

Answer 2

你可以读到..。发布说明

http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html

bug描述可以在http://www.oracle.com/technetwork/topics/security/alert-cve-2013-0422-1896849.html上找到。

Answer 3

在此可找到一项分析：

https://partners.immunityinc.com/idocs/Java%20MBeanInstantiator.findClass%200day%20Analysis.pdf

这归结为sun.reflect.Reflection.getCallerClass(int)没有正确地处理新引入的反射API。