Java 7 Update 11被證實仍有安全漏洞

美國國土安全部（Department of Homeland Security）旗下的電腦緊急應變小組（US-CERT）在1月10日警告Java 7含有安全漏洞，甲骨文（Oracle）於13日馬上釋出緊急更新，隔天即有資安業者指出甲骨文並沒完全修補漏洞，而另一名資安研究人員Adam Gowdiak進一步證實最新的Java 7 update 11仍含有漏洞。

資安業者Immunity表示，仔細檢視甲骨文釋出的Java 7 update 11時，發現甲骨文只處理了兩個漏洞中的其中一個，雖然該修補程式的確因解決其中一個問題而阻止攻擊程式，但深諳Java的駭客仍可在另一個漏洞的協助下繼續危害使用者。

Gowdiak則再透過Full Disclosure郵件論壇揭露，除了那個未被修補的漏洞外，他還發現另外兩個新漏洞，證實Java 7 update 11的安全沙箱仍然可成功被繞過，並已提交相關的攻擊驗證程式予甲骨文。

根據估計，Java在全球逾8.5億台的個人電腦及數十億的行動裝置或電視上執行，為一非常普及的程式語言與平台，經常被應用在工具、遊戲與商業程式中。

但近來Java漏洞頻傳已讓US-CERT及資安業者建議使用者關閉瀏覽器中的Java功能，讓瀏覽器直接拒絕存取各種Java程式，同時呼籲甲骨文應該正視Java的安全性，重新改寫Java核心元件，而不是一再的修補，或釋出不完整的修補程式。

令人人自危的Java漏洞也成為社交工程攻擊途徑。趨勢科技發現有駭客利用了使用者對Java漏洞的恐慌，打造了假的Java更新程式，當使用者執行該更新時，駭客即可透過後門掌控使用者電腦。（編譯/陳曉莉）