Java 7零時差漏洞被納入攻擊套件

美國電腦緊急應變小組（US-CERT）周四（1/10）發出資安警報指出，Java 7含有零時差漏洞，可允許駭客進行遠端攻擊，在被駭電腦上執行程式，該漏洞不但影響Java 7的所有版本，而且已被納入攻擊套件中。

根據US-CERT的說明，甲骨文發行的JRE（Java Runtime Environment）1.7允許使用者在瀏覽器中執行Java程式，或是單獨執行Java程式，且JRE已支援各種不同的作業系統；即使JRE外掛程式提供自己的安全管理機制，但透過與Java Management Extensions（JMX）相關的MBean元件或是sun.org.mozilla.javascript.internal等物件，將允許不被信賴的Java程式將權限擴大，不論是Java 7 Update 10或是之前的版本皆受到影響。
駭客通常會吸引使用者造訪一個特製的HTML文件，並可於被駭電腦上執行任意程式。

該漏洞不但已被駭客鎖定並利用，而且已有災情傳出，包括知名的Blackhole或Nuclear Pack等攻擊套件都已納入了該漏洞的攻擊工具，某些論壇亦已張貼出攻擊程式。

目前尚未有針對相關漏洞的修補程式，但資安業者一致建議使用者暫時關閉瀏覽器的Java功能，關於各種瀏覽器的Java關閉方式，可參考Sophos之前提供的方法。（編譯/陳曉莉）