甲骨文才修補Java，黑市開始兜售新漏洞

根據資安公司KrebsOnSecurity的報告，甲骨文（Oracle）推出Java 7 update 11修補零時差漏洞後不到24小時，黑市已經有人開始兜售新的漏洞資料，證實美國國土安全部（Department of Homeland Security）電腦緊急應變小組（US-CERT）的警告。

KrebsOnSecurity表示，在黑市論壇中，駭客表示具有最新版本的Java零時差漏洞，包含攻擊工具程式及程式碼，要以5000美元賣給兩個人，發表時已經售給一人。駭客沒有透漏詳細狀況，但表示其中包含租金高達每月一萬美元的攻擊工具中不曾出現的漏洞。由於目前該筆兜售已經從論壇中刪除，KrebsOnSecurity認為駭客已經找到第二個買家。

另外一家資安媒體DarkReading表示，Java 7之前的兩個漏洞允許未經授權的Java程式在企業內部設備執行，可能導致企業考慮放棄使用Java。資安業者Immunity則發現Java 7 update 11只修復其中一個漏洞，甲骨文的解決方式只是以提高安全預設值在執行未授權程式時跳出警告視窗，這也讓US-CERT建議使用者持續關閉Java。

不過許多企業依賴Web及Java運作，有部分程式可能還必須在舊版Java上運作，因此關閉Java可能影響到企業運作。資安專家建議這些企業必須嚴謹遵循資安法則以避免風險，包含建立黑名單、白名單與使用瀏覽器附加工具限制擴充程式執行等。另外有專家認為Java等擴充程式開發的應用，應該開始移轉到HTML5等新技術。（編譯/沈經）