2013年1月14日 星期一

Java爆重大安全漏洞

美國土安全部警告:Java爆重大安全漏洞!任何PC恐遭攻擊 應立即停用

美國國土安全部轄下電腦資安單位 CERT 周四 (10 日) 發布警告,指使用率相當高的甲骨文 (Oracle)(ORCL-US) 軟體 Java 爆發嚴重安全漏洞問題,恐令全球數億台安裝該軟體的個人電腦 (PC) 遭到駭客惡意攻擊,建議使用者應該立即停用。


美國土安全部電腦緊急迅速反應小組 (CERT) 在官方網站上警告,Java 7 升級10 (Java 7 Update 10) 及之前的版本包含一個不明的安全漏洞,可讓駭客侵入 PC自遠端執行任意指令。

他們並警告,這個漏洞正暴露在肆無忌憚的攻擊威脅中,因數款攻擊軟體套件 (exploit kits) 的開發人員,已加入利用新發現的 Java 安全漏洞來進行攻擊的軟體。

Java 是一種電腦語言,讓程式設計師只需用一組編碼,就能寫出幾乎能在任何種類電腦上運作的軟體程式。這也讓網站開發人員能以此技術,架設出不同作業系統使用者都能透過網路瀏覽器打開看到的網站,無論是微軟 (Microsoft)(MSFT-US) Windows 或蘋果 (Apple)(AAPL-US) 麥金塔 (Mac) 電腦的用戶。電腦使用者則能透過安裝的 Java 軟體,在 IE (Internet Explorer) 或 Firefox 等瀏覽器之上見到這些外掛程式。

CERT 表示,駭客能利用這個新發現的 Java 安全漏洞,說服電腦使用者打開一特製的 HTML 檔案,進而開啟漏洞、讓駭客自遠端進入電腦系統執行任意指令。由於他們目前還不知道解決這個漏洞的實際辦法,因此建議電腦使用者將網路瀏覽器的 Java 停用。

這個安全漏洞首先由獨立資安研究人員 Kafeine 發現,並通報當局及在個人部落格發佈消息。早已知悉此漏洞的資安企業 AlienVault Labs 研究經理 Jaime Blasco 甚至直言:「Java 一團糟。它並不安全。」,表示這個漏洞的特性讓它很容易被駭客利用來欺騙系統,警告「任何一個使用者及任何一種系統」都可能中彈受害。

Java 是由甲骨文併購昇陽 (Sun Microsystems) 時所取得的軟體資產。Blasco 補充,由於甲骨文針對這類安全漏洞,通常得花一周至 1 個月才會發布補救軟體,因此電腦用戶務必盡快先關閉停用 Java。

企業資安顧問公司 Rapid7 資安主任 HD Moore 對《路透社》表示,無論採用 Windows、Mac OS X 或 Linux 作業系統的 PC,都可能因這個 Java 安全漏洞受到攻擊。「這宛如 (駭客) 對消費者的公然獵季」。

CERT警告聲明網址:http://www.kb.cert.org/vuls/id/625617

沒有留言:

張貼留言

注意:只有此網誌的成員可以留言。