Java 出现零时差漏洞　专家建议暂时禁用

   <p>目前多家资讯安全公司发布资讯安全通告表示，目前的Java含有未修补的漏洞，而且黑客已经在攻击中利用该漏洞，因此在甲骨文（Oracle）修补该漏洞之前，用户应该先禁用或解除安装Java。</p>    <p>首先披露此漏洞遭受攻击的资讯安全公司FireEye<a href="/misc/goto?guid=4958522927014898758" target="_blank">表示</a>， 他们发现ok.XXX4.net网站是此次攻击黑客所使用的主机，其IP位于中国境内。当用户受电子邮件等方式引导连结到该网站时，网页内含的Java程 序能够跳脱Java的沙箱保护机制，下载安装恶意程序dropper（Dropper.MsPMs），该恶意程序的主控电脑则为 hello.icon.pk，其IP位于新加坡。</p>    <p><img class="asset asset-image at-xid-6a00d835018afd53ef017c317aac83970b" title="Exploit" alt="Java 出现零时差漏洞 专家建议暂时禁用" src="https://simg.open-open.com/show/a892a0e4ae1a3bf189bb8e89d9aac08b.png" width="570" height="144" /></p>    <p><img class="asset asset-image at-xid-6a00d835018afd53ef017744583242970d" title="Callback" alt="Java 出现零时差漏洞 专家建议暂时禁用" src="https://simg.open-open.com/show/471992c711a241056460e57978e4db41.png" width="571" height="266" /></p>    <p>专家指出，此漏洞导致的攻击方式与以往有很大的不同。以往的攻击通常会导致浏览器故障，因此用户可能会发现有问题，但该漏洞不会导致浏览器当机，能在用户毫无知觉的情境下安装恶意软体。</p>    <p>目前最新版本的Java（JDK/JRE version 1.7 update 6）均含有此漏洞，而且是Windows、OS X、Linux各平台版本都不例外，各资讯安全公司也发现，不管搭配哪个浏览器，都一样会遭入侵。之前的旧版Java则不确定会受此漏洞影响，不过旧版可 能含有其他的问题，因此各资讯安全公司均认为用户不该降级使用旧版。</p>    <p>资讯安全公司DeepEnd及Secunia也指出，此波攻击的Java程序修改了Java的安全性管理规则，导致Java程序可以不受这些规则限制，可以为所欲为。</p>    <p>DeepEnd公司表示，从Oracle买下SUN取得Java以来，几乎不曾在每季定期更新之外推出安全更新，他们希望Oracle此次能够破例，因为下一次定期更新（10/16）还有一个半月的日期。</p>    <p>该公司也开发一个修补该漏洞的工具程序，可以阻止这个恶意Java程序执行，但如果不法之徒取得该程序，可能用来发展新一波的攻击，因此该工具仅提供给大批电脑且依赖Java运作的资讯管理人员使用。</p>    <p>目前发现的攻击事件都是针对Windows上的Java 7，但资讯安全顾问公司Accuvant已经证实同样的漏洞可以在OS X及Linux上进行攻击，因此这些系统的用户可能也需要停用或解除Java才能保护系统的安全。</p>    <p>上个月举办的黑帽大会中，专家曾指出因为Java具有跨平台的特性，因此Java的漏洞越来越受注目，Java漏洞往往很快就被加入攻击用的工具程序中。<br /> <br /> 载自: 中文IT资讯站 <a href="/misc/goto?guid=4958523044587918566" rel="nofollow" target="_blank">http://www.cnitinfo.com/10996.html</a> </p>