4月19日消息,Sun突然改變心意,針對造成Windows使用者陷入惡意軟體攻擊風險的下載下傳Java漏洞,緊急釋出更新檔方案。
不到一周前,Sun才對一位Google研究員表示,這個問題沒有嚴重到需要在更新周期之外修補。這位研究員發現某個歌詞網站藏有攻擊程式。
新的Java 6 Update 20的釋出通告,完全沒有提到這項漏洞和相關攻擊,但記者已證明,這次更新确實涵蓋Google安全研究員Tavis Ormandy發現的這項漏洞。
将更新檔方案下載下傳至Windows主機後,Ormandy的概念驗證攻擊便無法執行。計算機軟體沒有被啟動,反而看到下面關于Java Virtual Machine Launcher的錯誤資訊: SEE: Researcher warns of dangerous Java flaw。
該漏洞是起于Java-Plugin Browser沒有确認指令列參數,即執行“javaws.exe”。獨立研究人員Ruben Santamarta同樣發現這項瑕疵。
盡管沒有說明檔案,一位研究員還是發現,Sun删除了Java-Plugin Browser内執行javaws.exe的程式代碼。
![Java小案例——随機數猜測随機數猜測[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)