就在蘋果、臉書與微軟宣布受駭消息,並於甲骨文公司釋出兩次緊急更新之後,Security Explorations公司執行長Adam Gowdiak對外公布兩個新問題(Java 7被發現到的第54、55號問題),藉由這兩個問題,駭客可以成功繞過Java的安全沙箱,對使用者資料進行竊取、破壞。Adam Gowdiak表示:「這兩個新問題只影響Java SE 7,駭客以一種十分有趣的方式利用了Reflection API,現在該是甲骨文出面的時刻了」。
兩個漏洞報告,甲骨文僅承認其一
Adam Gowdiak已向甲骨文提交這兩個問題的相關影響與技術報告,但為避免被駭客知悉問題內容並加以利用,他並未對外揭露新問題的細節。
然而針對Adam Gowdiak提交的報告,甲骨文公司僅承認55號問題為「安全性弱點」,而將54號問題視為「可允許行為」。甲骨文發表聲明後,Adam Gowdiak隨即表示不同意此項說法,並宣稱若甲骨文繼續將54號問題視為「可允許行為」,他將把問題細節公諸於世,而甲骨文也承諾願意繼續調查。
然而,資安公司FireEye研究員Darien Kindlund與Yichong Lin卻發現已有駭客利用McRAT這套遠端存取工具,對使用者進行攻擊。甲骨文則在2013年3月4日緊急釋出Java 7第17版更新。
此外,雖然甲骨文先前表示Java 6第41版是其最後更新,然而3月4日甲骨文卻釋出了Java 6第43版更新。甲骨文再次表示,這將是Java 6的最後一版更新,並建議Java 6的使用者升級至Java 7。
另外,防毒軟體公司Sophos的資深科技顧問Graham Cluley表示,駭客攻擊途徑與之前攻擊臉書、蘋果和微軟的手法十分類似,都是先引誘使用者進入釣魚網頁,隨後以含惡意程式碼的Java Applet入侵使用者電腦。
企業防護要點,首重員工網頁瀏覽行為
駭客的攻擊途徑是引誘使用者進入釣魚網頁,並在使用者未允許的情形下執行此網頁上的Java Applet。因此企業防護的重點,首在前端員工的網路瀏覽行為。聖藍科技研發技術長王建興則認為,關閉瀏覽器上的Java Applet插件是根本的解決之道。
此外,Websense臺灣區技術總監莊添發表示,企業應安裝更新管理系統,以能即時替內部各端點電腦自動下載更新,保持最新版本狀態。另外由於駭客攻擊手法是以合法網站作為跳板,過去普遍以URL資料庫為判準來限制網頁瀏覽的EIM(Enterprise Information Management)系統,已無法有效因應這波攻擊。莊添發認為,企業應部署能動態分析網頁內容的安全系統,以作為因應。
此外,莊添發表示,企業要保護重要內部資料,建置資料外洩防護(Data Leakage Prevention,DLP)系統、以及提升對進階持續性滲透攻擊(Advanced Persistent Threats,APT)的防護能力是當務之急。Graham Cluley建議,如果不需要用到Java,就立刻關掉它。文⊙楊智傑
Java漏洞連環爆,企業防護重點
1. 管控員工上網行為,避免瀏覽含有Java Applet的惡意網站
2. 關閉員工瀏覽器上的Java Applet插件
3. 安裝更新管理系統,將員工電腦上的Java升至最新版
4. 部署具動態分析網頁內容的安全系統,即時偵測網頁異常動態
熱門新聞
2025-12-19
2025-12-19
2025-12-21
2025-12-19
2025-12-19
2025-12-19
2025-12-19
2025-12-19