2012年8月28日 星期二

Java出現零時差漏洞 專家建議暫時禁用


Java出現零時差漏洞 專家建議暫時禁用

目前最新版本的Java(JDK/JRE version 1.7 update 6)均含有此漏洞,而且是Windows、OS X、Linux各平台版本都不例外,各資安公司也發現,不管搭配哪個瀏覽器,都一樣會遭入侵。

多家資安公司發表資安通告表示,目前的Java含有未修補的漏洞,而且駭客已經在攻擊中利用該漏洞,因此在甲骨文(Oracle)修補該漏洞之前,使用者應該先禁用或解除安裝Java。

首先披露此漏洞遭受攻擊的資安公司FireEye表示,他們發現ok.XXX4.net網站是此次攻擊駭客所使用的主機,其IP位於中國境內。當使用者受電子郵件等方式引導連結到該網站時,網頁內含的Java程式能夠跳脫Java的沙箱保護機制,下載安裝惡意程式dropper(Dropper.MsPMs),該惡意程式的主控電腦則為hello.icon.pk,其IP位於新加坡。

專家指出,此漏洞導致的攻擊方式與以往有很大的不同。以往的攻擊通常會導致瀏覽器故障,因此使用者可能會發現有問題,但該漏洞不會導致瀏覽器當機,能在使用者毫無知覺的情境下安裝惡意軟體。

目前最新版本的Java(JDK/JRE version 1.7 update 6)均含有此漏洞,而且是Windows、OS X、Linux各平台版本都不例外,各資安公司也發現,不管搭配哪個瀏覽器,都一樣會遭入侵。之前的舊版Java則不確定會受此漏洞影響,不過舊版可能含有其他的問題,因此各資安公司均認為使用者不該降級使用舊版。

資安公司DeepEnd及Secunia也指出,此波攻擊的Java程式修改了Java的安全性管理規則,導致Java程式可以不受這些規則限制,可以為所欲為。

DeepEnd公司表示,從Oracle買下SUN取得Java以來,幾乎不曾在每季定期更新之外推出安全更新,他們希望Oracle此次能夠破例,因為下一次定期更新(10/16)還有一個半月的日期。

該公司也開發一個修補該漏洞的工具程式,可以阻礙這個惡意Java程式執行,但如果不法之徒取得該程式,可能用來發展新一波的攻擊,因此該工具僅提供給大批電腦且依賴Java運作的資訊管理人員使用。

目前發現的攻擊事件都是針對Windows上的Java 7,但資安顧問公司Accuvant已經證實同樣的漏洞可以在OS X及Linux上進行攻擊,因此這些系統的用戶可能也需要停用或解除Java才能保護系統的安全。

上個月舉辦的黑帽大會中,專家曾指出因為Java具有跨平台的特性,因此Java的漏洞越來越受注目,Java漏洞往往很快就被加入攻擊用的工具程式中。(編譯/沈經)

轉載自《iThome》