研究人員警告有新的Java漏洞與攻擊

資安業者FireEye上周警告又出現新的Java零時差漏洞，且駭客已透過瀏覽器針對該漏洞展開攻擊。

這與同樣在上周波蘭資安公司Security Explorations所爆的兩個零時差漏洞並不相同，Security Explorations所發現的兩個漏洞會繞過沙箱保護機制，但只影響Java 7。

FireEye表示，不像其他著名的Java漏洞能夠輕易關閉安全管理員，此一漏洞可於Java虛擬機器（JVM）中任意讀寫記憶體，該漏洞一旦被觸發，攻擊程式便會尋找掌管JVM內部資料架構的記憶體，然後覆蓋它，成功攻擊後便會下載一個惡意執行檔McRAT ，這是一個木馬程式，將會繼續自遠端伺服器接收其他惡意程式。

該漏洞影響了Java v1.6 Update 41及Java v1.7 Update 15，後者是甲骨文最近才更新的版本。不過，由於該攻擊必須覆蓋大塊記憶體，因此並不是非常可靠，即使下載了執行檔，也無法成功執行它，只會導致JVM當掉。

FireEye指出，已通知甲骨文，公布此一漏洞的目的在於警告大眾，因為該漏洞波及了Java v1.6 與Java v1.7最新的兩個版本，使用者應該要關閉瀏覽器中的Java功能一直到甲骨文釋出更新為止，或是將Java設為高安全等級，以避免執行任何未知的Java程式。

層出不窮的Java漏洞已讓業者及甲骨文幾乎無法招架，Facebook、蘋果及微軟的工程師都因以支援Java的瀏覽器造訪iOS開發者網站iPhoneDevSDK而被駭，駭客甚至企圖入侵這些業者的內部網路，甲骨文今年以來則已釋出3次Java更新，其中兩次為緊急更新。（編譯/陳曉莉）