趨勢科技：Java零時差漏洞再現，駭客集團已鎖定政府、國防機構及媒體產業

趨勢科技揭露一個新的Java零時差漏洞，駭客集團「典當風暴」（Pawn Storm）已針對該漏洞打造零時差攻擊程式，並鎖定NATO成員、美國國防機構，以及媒體業展開攻擊。

趨勢說明，該公司是在追蹤典當風暴攻擊行動並偵測用戶的電子郵件訊息時發現此一Java零時差攻擊程式，這些郵件鎖定參與北大西洋公約組織（North Atlantic Treaty Organization，NATO）的國家及美國的國防機構，內含某些藏有Java攻擊程式的網址連結，駭客若攻擊成功將可執行任意程式並危害使用者系統的安全。

根據趨勢的分析，代管此一攻擊程式的網址與典當風暴今年4月用來攻擊NATO及白宮的非常類似，而且典當風暴的攻擊行動還以諸如亞太經合組織（APEC）論壇或中東國土安全高峰會（Middle East Homeland Security Summit）等政治活動或會議來誘導各國政府組織點選惡意連結。此外，他們的攻擊目標不只是政府與軍事組織，還鎖定國防與媒體產業。

不論如何，這是近兩年以來第一次出現的Java零時差漏洞，而且影響最新的Java 1.8.0.45，但舊版的Java 1.6與Java 1.7則不受影響。甲骨文已收到漏洞通報，但尚未釋出修補程式，趨勢則建議使用者可暫時關閉瀏覽器的Java功能。（編譯/陳曉莉）