Google資安工程師Tavis Ormandy上周揭露了Java的零時差漏洞,並指出甲骨文(Oracle)認為該漏洞尚未重要到必須提供緊急更新。不過,資安業者AVG本周三(4/14)發現了針對該漏洞的攻擊行動,使得甲骨文在周四(4/15)緊急修補相關漏洞。
Ormandy所發現的漏洞是存在於2008年4月所發表的Java 6 update 10,該版本新增了Java開發套件(Java Deployment Toolkit,JDT)以簡化開發人員散布應用程式的程序,同時也建立了一個可透過網站執行程式的方法。
Qualys技術長Wolfgang Kandek說明,該漏洞允許駭客在目標電腦上執行遠端程式,而且使用者只要造訪一個簡單的網頁就可能觸動攻擊。
AVG研究長Roger Thompson表示,嚴格來說這是一個功能,並非臭蟲。再加上Ormandy所公布的概念性驗證程式很簡單,很容易複製,所以五天後他們就偵測到有一俄國伺服器含有攻擊程式,並以美國的歌詞網站當作誘餌,將使用者導向該俄國伺服器並進行攻擊。
甲骨文在周四釋出了Java 6 update 20,修補了3個Java的安全漏洞,其中一個便是上述漏洞。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
Advertisement