Oracle 上周修补了 Java 15 及更高版本中的一个严重错误，该错误使攻击者可以伪造 TLS 证书和签名、双因素身份验证

Oracle上周修补了Java15及更高版本中的一个严重错误，该错误使攻击者可以伪造TLS证书和签名、双因素身份验证消息等使用甲骨文较新版本的Java框架的组织在上周三收到提醒。一个关键的漏洞可以使黑客很容易伪造TLS证书和签名、双因素认证信息以及由一系列广泛使用的开放标准产生的授权凭证。甲骨文公司上周二修补了这个漏洞，它影响到该公司在Java15及以上版本中对椭圆曲线数字签名算法的实现。ECDSA是一种利用椭圆曲线密码学原理对信息进行数字认证的算法。与RSA或其他加密算法相比，ECDSA的一个关键优势是它生成的密钥规模较小，这使得它非常适合用于包括基于FIDO的2FA、安全断言标记语言、OpenID和JSON等标准。该漏洞被追踪为CVE-2022-21449，其严重性评级为7.5（满分10分），但Madden说，根据他的评估，他将其严重性评级为10分，"因为在访问管理背景下对不同功能的影响范围很广"。该漏洞可以被脆弱网络之外的人利用，根本不需要验证。——arstechnica