随着春节的临近,购买年货和回家的车票是很多人的头等大事,现在随着互联网的普及,越来越多人们开始在网上购买年货、车票、机票等,这的确给我们的生活带来了极大的便利。而就在人们打开浏览器,轻松享受这些便捷的服务时,网络中也隐藏着各种漏洞利用程序,一旦用户的计算机被这样的程序感染,黑客们或网络犯罪分子就会在用户不知情的情况下操控受感染的计算机,从而达到他们各种非法目的。近日,卡巴斯基实验室检测到一个CVE-2013-0422漏洞利用程序。
CVE-2013-0422是一个存在于浏览器Java插件中的漏洞,甚至存在于最新版本中。此漏洞程序利用了Oracle JRE7环境中的com.sun.jmx.mbeanserver.MBeanInstantiator.findClass方法中存在的漏洞使得黑客可以关闭Java Security Manager执行任意java代码。
由于com.sun.jmx.mbeanserver.MBeanInstantiator.findClass可以获取任意包中任意的类,因此黑客就可以利用它来访问原本无权访问的类sun.org.mozilla.javascript.internal.Context
和sun.org.mozilla.javascript.internal.GeneratedClassLoader。
通过Java反射机制调用
sun.org.mozilla.javascript.internal.Context.createClassLoader
绕过另外的权限检查后,漏洞利用程序即调用
sun.org.mozilla.javascript.internal.DefiningClassLoader.defineClass来关闭Java中的Security Manager,之后即可执行任意代码。从我们捕获的样本来看,此漏洞利用程序通常会向用户计算机中下载安装Trojan.Win32.TDSS、Backdoor.Win32.ZAccess、Trojan-Ransom.Win32.Foreign等复杂恶意程序。
卡巴斯基实验室提醒广大的用户在使用互联网的各种服务时,要提高对安全问题的警惕,除了安装好专业安全解决方案,还要尽快打补丁或者禁用java插件。此外,不要轻易信任一些来路不明的链接,以免给自己和他人带来不必要的麻烦。