據 Security affairs 網(wǎng)站消息，4 月 21 日，安全研究人員 Khaled Nassar 在 Github 上公開(kāi)了 Java 中新披露的數字簽名繞過(guò)漏洞的 PoC 代碼，該漏洞被追蹤為 CVE-2022-21449(CVSS 分數：7.5)。

　　漏洞的影響范圍主要涉及 Java SE 和 Oracle GraalVM 企業(yè)版的以下版本 ：

　　Oracle Java SE：7u331、8u321、11.0.14、17.0.2、18

　　Oracle GraalVM 企業(yè)版：20.3.5、21.3.1、22.0.0.2

　　該漏洞被稱(chēng)為 Psychic Signatures，與 Java 對橢圓曲線(xiàn)數字簽名算法 ( ECDSA )實(shí)現有關(guān)，這是一種加密機制，用于對消息和數據進(jìn)行數字簽名，以驗證內容的真實(shí)性和完整性。但 Psychic Signatures 導致的加密錯誤，能夠允許呈現一個(gè)易受攻擊的完全空白的簽名，攻擊者可以此利用偽造簽名并繞過(guò)身份驗證措施。

　　Nassar 證明，設置惡意 TLS 服務(wù)器可以欺騙客戶(hù)端接受來(lái)自服務(wù)器的無(wú)效簽名，從而有效地允許 TLS 握手的其余部分繼續進(jìn)行。

　　據悉，漏洞在去年 11 月就由 ForgeRock 研究員 Neil Madden 發(fā)現，并于當天就通報給了甲骨文(Oracle)，Madden 表示，這個(gè)漏洞的嚴重性再怎么強調都不為過(guò)。

　　目前，甲骨文已在 4 月 19 日最新發(fā)布的 4 月補丁中修復了該漏洞，但由于 PoC 代碼的公布，建議在其環(huán)境中使用 Java 15、Java 16、Java 17 或 Java 18 的系統組織盡快修復。
　?。?a href="http://www.hnsema.com/wechat/">邯鄲小程序開(kāi)發(fā)）

臺積電更新了路線(xiàn)圖 3nm...

特斯拉CEO馬斯克有望將推...