甲骨文緊急修補Java零時差攻擊的漏洞

甲骨文周四（8/30）發佈緊急安全更新修補四個Java的漏洞，以防止目前隨時可能高升的零時差攻擊。

前三個漏洞分別為CVE-2012-4681, CVE-2012-1682, CVE-2012-3136，預估不會影響Java桌面應用程式或伺服器上的Java。這三個漏洞讓駭客可透過網路層，不需取得使用者名稱及密碼的情況下，進行遠端攻擊。瀏覽器若執行未更新的Java版本而存取帶有攻擊程式的惡意網頁，PC就可能被安裝包括木馬等惡意程式，進而影響PC資料的完整性與機密性。第四個所修補的CVE-20120-0547則與Java Runtime Environment (JRE) AWT子元件中的「縱深防禦」（security-in-depth）問題有關。

基於Java的普及性，前三項弱點在甲骨文的危險評等中達到CVSS Base Score 10.0，也就是最高等級。而第四項弱點評等分數為CVSS Base Score 0.0。

日前多家資安公司發表資安通告表示，目前的Java含有未修補的漏洞，而且駭客已經在攻擊中利用該漏洞，受影響的產品包括JDK及JRE 7 Update 6之前的版本，以及JRE6 Update 34及之前的版本。

而隨著攻擊程式被納入駭客最喜愛的BlackHole攻擊工具包，也讓相關的零時差攻擊危機高升。安全公司也發現，已有駭客針對其中兩個漏洞展開攻擊，過去幾天內，甚至有100多個網域已備加入散佈Java攻擊程式的行列。

這也讓甲骨文首次破例釋出緊急更新。原本依照時程，下一次的每季定期更新日期在十月中，還有一個半月的時間。

甲骨文稍早已透過公佈1.7.0_07-b10裸機Java更新。並強調，其中CVE-2012-4681漏洞技術細節已遭公開，且傳出入侵情況，因此強烈建議客戶儘速安裝修補程式。根據國外媒體報導，經過資安專家測試之後，更新之後的確能夠有效防止相關的零時差攻擊。（編譯/林妍溱）