4月19日消息,Sun突然改变心意,针对造成Windows使用者陷入恶意软件攻击风险的下载Java漏洞,紧急发布补丁方案。
不到一周前,Sun才对一位Google研究员表示,这个问题没有严重到需要在更新周期之外修补。这位研究员发现某个歌词网站藏有攻击程序。
新的Java 6 Update 20的发布通告,完全没有提到这项漏洞和相关攻击,但记者已证实,这次更新确实涵盖Google安全研究员Tavis Ormandy发现的这项漏洞。
将补丁方案下载至Windows主机后,Ormandy的概念验证攻击便无法执行。计算机软件没有被启动,反而看到下面关于Java Virtual Machine Launcher的错误信息: SEE: Researcher warns of dangerous Java flaw。
该漏洞是起于Java-Plugin Browser没有确认命令列参数,即执行“javaws.exe”。独立研究人员Ruben Santamarta同样发现这项瑕疵。
尽管没有说明文件,一位研究员还是发现,Sun删除了Java-Plugin Browser内执行javaws.exe的程序代码。
