目前多家资讯安全公司发布资讯安全通告表示,目前的Java含有未修补的漏洞,而且黑客已经在攻击中利用该漏洞,因此在甲骨文(Oracle)修补该漏洞之前,用户应该先禁用或解除安装Java。
首先披露此漏洞遭受攻击的资讯安全公司FireEye表示,他们发现ok.XXX4.net网站是此次攻击黑客所使用的主机,其IP位于中国境内。当用户受电子邮件等方式引导连结到该网站时,网页内含的Java程序能够跳脱Java的沙箱保护机制,下载安装恶意程序dropper(Dropper.MsPMs),该恶意程序的主控电脑则为hello.icon.pk,其IP位于新加坡。
专家指出,此漏洞导致的攻击方式与以往有很大的不同。以往的攻击通常会导致浏览器故障,因此用户可能会发现有问题,但该漏洞不会导致浏览器当机,能在用户毫无知觉的情境下安装恶意软体。
目前最新版本的Java(JDK/JRE version 1.7 update 6)均含有此漏洞,而且是Windows、OS X、Linux各平台版本都不例外,各资讯安全公司也发现,不管搭配哪个浏览器,都一样会遭入侵。之前的旧版Java则不确定会受此漏洞影响,不过旧版可能含有其他的问题,因此各资讯安全公司均认为用户不该降级使用旧版。
资讯安全公司DeepEnd及Secunia也指出,此波攻击的Java程序修改了Java的安全性管理规则,导致Java程序可以不受这些规则限制,可以为所欲为。
DeepEnd公司表示,从Oracle买下SUN取得Java以来,几乎不曾在每季定期更新之外推出安全更新,他们希望Oracle此次能够破例,因为下一次定期更新(10/16)还有一个半月的日期。
该公司也开发一个修补该漏洞的工具程序,可以阻止这个恶意Java程序执行,但如果不法之徒取得该程序,可能用来发展新一波的攻击,因此该工具仅提供给大批电脑且依赖Java运作的资讯管理人员使用。
目前发现的攻击事件都是针对Windows上的Java 7,但资讯安全顾问公司Accuvant已经证实同样的漏洞可以在OS X及Linux上进行攻击,因此这些系统的用户可能也需要停用或解除Java才能保护系统的安全。
上个月举办的黑帽大会中,专家曾指出因为Java具有跨平台的特性,因此Java的漏洞越来越受注目,Java漏洞往往很快就被加入攻击用的工具程序中。