VULHUB ™

一些厂商(包括Sun、Microsoft)都实现了Java虚拟机，它可以允许一些来自不可信资源的代码(例如Java applet)在虚拟机中安全的执行。 一些厂商的虚拟机实现上存在漏洞，当用户通过HTTP代理进行网络访问时，恶意的Java applet可以劫持用户的会话。 在用户用IE或者其他Web浏览器通过代理服务器进行浏览的情况下，网站上恶意的Java脚本可能利用这个漏洞，在不知不觉中把用户通过浏览器浏览的网络流量转发到攻击者控制的主机上。随后攻击者就能发送恶意回复，使之看起来象是来自原目的地，也可以丢弃对话信息，导致拒绝服务。另外，攻击者还能捕捉和保存用户的对话信息。这样他就能执行重播攻击或搜寻诸如用户名和口令等机密信息。 目前已知Microsoft和Sun的虚拟机实现存在此安全漏洞。Netscape 6.1， 6.0.1， 和6.0由于带有有问题的Java虚拟机，因此受到此问题影响。Microsoft VM build 3802以及以前版本也受到此问题影响。

一些厂商(包括Sun、Microsoft)都实现了Java虚拟机，它可以允许一些来自不可信资源的代码(例如Java applet)在虚拟机中安全的执行。 一些厂商的虚拟机实现上存在漏洞，当用户通过HTTP代理进行网络访问时，恶意的Java applet可以劫持用户的会话。 在用户用IE或者其他Web浏览器通过代理服务器进行浏览的情况下，网站上恶意的Java脚本可能利用这个漏洞，在不知不觉中把用户通过浏览器浏览的网络流量转发到攻击者控制的主机上。随后攻击者就能发送恶意回复，使之看起来象是来自原目的地，也可以丢弃对话信息，导致拒绝服务。另外，攻击者还能捕捉和保存用户的对话信息。这样他就能执行重播攻击或搜寻诸如用户名和口令等机密信息。 目前已知Microsoft和Sun的虚拟机实现存在此安全漏洞。Netscape 6.1， 6.0.1， 和6.0由于带有有问题的Java虚拟机，因此受到此问题影响。Microsoft VM build 3802以及以前版本也受到此问题影响。