| IE的Java VM存在可能导致窃听的安全漏洞 |
|
|
| 天极网 日经BP社 2002-03-12 |
微软近日宣布,Internet Explorer(IE)与Windows OS等软件中包含的Java虚拟机“Microsoft VM(Microsoft virtual machine)”存在有安全漏洞。当使用代理服务器时,IE与Web服务器间的通信有可能被第三方窃听。可通过安装补丁或更改设置使虚拟机无效来进行防范。如果可能的话,最好设定为不使用代理服务器避免这一问题。
微软同时公布了Windows 2000的补丁。在更新的信息网页上设置有下载网页(英语)的链接。
受影响的为Build 3802以前的Microsoft VM。Build编号可以通过运行“jview”命令来确认。例如,键入C:>jview后就会显示出 Microsoft (R) Command-line Loader for Java Version 5.00.3802 Copyright (C) Microsoft Corp 1996-2000. All rights reserved. 这里出现的“3802”就是Build编号。
在更新的网页上,关于Internet Explorer 4.01 SP1,提醒人们对“MSJAVA.DLL”的版本与Build编号进行确认。该网页还详细介绍了具体的确认方法。
此次出现的安全漏洞是在Java的虚拟机Microsoft VM上,从Java应用程序向代理服务器发送信号时的申请处理程序出现问题而造成的。如果下载并运行了恶意利用该漏洞的Java应用程序,在以后登录Web网站时,就会间接地登录到攻击者选择的网站。因此,当攻击者冒充某一个Web网站时,就有可能窃听到网站与用户间的Web传输情况。
但窃听的仅仅是收发的信息数据,个人电脑内的文件等不会被读取。此外,当使用SSL(Secure Sockets Layer)时,窃听者只能得到加密后的数据。
防范措施为运行补丁或更改设置。运用补丁或将电脑设定为不使用Java应用程序可避免上述问题,具体操作为:在IE的“因特网选项”中选择“安全”一项,在“客户端级别”中的“Microsoft VM”项目上点击“Java无效”。
这不仅是针对此次安全漏洞的防范措施,“Java无效”的设置在所有安全方面都很重要。此外,还建议大家不仅是“Microsoft VM”,还要将“ActiveX控件”与“脚本”选项也都设置为无效。
此次发现的安全漏洞其影响仅限于代理服务器,因此,只要设定为不使用“代理服务器”就可以避免。但对于企业用户来说不使用是不可能的。
|
|
|
|
|
 |
|
|
|
|
|
|
|
