2013年3月5日 星期二

研究人員警告有新的Java漏洞與攻擊


研究人員警告有新的Java漏洞與攻擊

這與同樣在上周Security Explorations所爆的兩個零時差漏洞並不相同,新的漏動已出現攻擊,駭客利用該漏洞掌管Java虛擬機器(JVM)中的記憶體,並下載McRAT 木馬程式。

資安業者FireEye上周警告又出現新的Java零時差漏洞,且駭客已透過瀏覽器針對該漏洞展開攻擊。

這與同樣在上周波蘭資安公司Security Explorations所爆的兩個零時差漏洞並不相同,Security Explorations所發現的兩個漏洞會繞過沙箱保護機制,但只影響Java 7。

FireEye表示,不像其他著名的Java漏洞能夠輕易關閉安全管理員,此一漏洞可於Java虛擬機器(JVM)中任意讀寫記憶體,該漏洞一旦被觸發,攻擊程式便會尋找掌管JVM內部資料架構的記憶體,然後覆蓋它,成功攻擊後便會下載一個惡意執行檔McRAT ,這是一個木馬程式,將會繼續自遠端伺服器接收其他惡意程式。

該漏洞影響了Java v1.6 Update 41及Java v1.7 Update 15,後者是甲骨文最近才更新的版本。不過,由於該攻擊必須覆蓋大塊記憶體,因此並不是非常可靠,即使下載了執行檔,也無法成功執行它,只會導致JVM當掉。

FireEye指出,已通知甲骨文,公布此一漏洞的目的在於警告大眾,因為該漏洞波及了Java v1.6 與Java v1.7最新的兩個版本,使用者應該要關閉瀏覽器中的Java功能一直到甲骨文釋出更新為止,或是將Java設為高安全等級,以避免執行任何未知的Java程式。

層出不窮的Java漏洞已讓業者及甲骨文幾乎無法招架,Facebook、蘋果及微軟的工程師都因以支援Java的瀏覽器造訪iOS開發者網站iPhoneDevSDK而被駭,駭客甚至企圖入侵這些業者的內部網路,甲骨文今年以來則已釋出3次Java更新,其中兩次為緊急更新。(編譯/陳曉莉)

轉載自《iThome》