跳至主內容

Oracle Java Reflection API 漏洞

最後更新 2013年04月25日 10:41 發佈日期: 2013年04月25日 1772 觀看次數

風險: 高度風險

類型: 操作系統 - 應用程式平台

類型: 應用程式平台

在 Oracle Java 發現漏洞,遠端使用者可利用漏洞在目標使用者系統執行任意程式碼。

 

遠端使用者可透過引誘目標使用者載入及批准特製 Java 應用程式,利用漏洞導致 Reflection API 內的漏洞繞過保安沙箱。

 

Java Server JRE 亦受影響。

 

注意:暫時未有由軟件供應商提供的修補程式。


影響

  • 遠端執行程式碼

受影響之系統或技術

  • 版本 7 Update 21 及之前版本

解決方案

[1]  注意:暫時未有由軟件供應商提供的修補程式。

 

[2]  請先執行臨時處理方法。 

  • Java 7 update 10 之前: 如你正使用 Internet Explorer 以及舊版本的 Java,請依以下指示停用 Java
    1. 在視窗 "控制台", 將檢視方式轉成 "傳統檢視" (視窗 XP和視窗Vista) 或 "大圖示" (視窗 7)。
    2. 開啟Java,選擇 "進階"分頁,在 "瀏覽器的預設 Java", 按一下 "+"展開選項。
    3. 選擇 "Microsoft Internet Explorer",然後按一下鍵盤上 "Space" 鍵 取消勾選。

    如使用其他瀏覽器及操作系統,請參閱以下網址:
    /my_url/zh/blog/12082902#howtoprotect

  • 請於停用 Java 後,重啟瀏覽器,並利用以下網址再次偵測 Java 已被停用
    http://java.com/zh_TW/download/installed.jsp


     

  • 只在可信的網站(如政府或銀行網站)有需要使用 Java 時,才暫時啟動 Java。 在 Java 啟動時不要瀏覽其他網站,用後需立即停用 Java。

 

[3]  最佳做法

  • 根據保安的最佳做法,你不應隨意安裝不需要使用的軟件。若你不確定是否需要使用 Java,可根據臨時處理方法停用 Java 一段時間,確認你是否可以移除 Java。

漏洞識別碼

  • 暫無 CVE 可提供

資料來源


相關連結