美國電腦緊急應變小組(US-CERT)周四(1/10)發出資安警報指出,Java 7含有零時差漏洞,可允許駭客進行遠端攻擊,在被駭電腦上執行程式,該漏洞不但影響Java 7的所有版本,而且已被納入攻擊套件中。

根據US-CERT的說明,甲骨文發行的JRE(Java Runtime Environment)1.7允許使用者在瀏覽器中執行Java程式,或是單獨執行Java程式,且JRE已支援各種不同的作業系統;即使JRE外掛程式提供自己的安全管理機制,但透過與Java Management Extensions(JMX)相關的MBean元件或是sun.org.mozilla.javascript.internal等物件,將允許不被信賴的Java程式將權限擴大,不論是Java 7 Update 10或是之前的版本皆受到影響。
駭客通常會吸引使用者造訪一個特製的HTML文件,並可於被駭電腦上執行任意程式。

該漏洞不但已被駭客鎖定並利用,而且已有災情傳出,包括知名的Blackhole或Nuclear Pack等攻擊套件都已納入了該漏洞的攻擊工具,某些論壇亦已張貼出攻擊程式。

目前尚未有針對相關漏洞的修補程式,但資安業者一致建議使用者暫時關閉瀏覽器的Java功能,關於各種瀏覽器的Java關閉方式,可參考Sophos之前提供的方法。(編譯/陳曉莉)

熱門新聞

Advertisement