目前多家資訊安全公司發布資訊安全通告表示,目前的Java含有未修補的漏洞,而且黑客已經在攻擊中利用該漏洞,因此在甲骨文(Oracle)修補該漏洞之前,用戶應該先禁用或解除安裝Java。
首先披露此漏洞遭受攻擊的資訊安全公司FireEye表示,他們發現ok.XXX4.net網站是此次攻擊黑客所使用的主機,其IP位於中國境內。當用戶受電子郵件等方式引導連結到該網站時,網頁內含的Java程序能夠跳脫Java的沙箱保護機制,下載安裝惡意程序dropper(Dropper.MsPMs),該惡意程序的主控電腦則為hello.icon.pk,其IP位於新加坡。
專家指出,此漏洞導致的攻擊方式與以往有很大的不同。以往的攻擊通常會導致瀏覽器故障,因此用戶可能會發現有問題,但該漏洞不會導致瀏覽器當機,能在用戶毫無知覺的情境下安裝惡意軟體。
目前最新版本的Java(JDK/JRE version 1.7 update 6)均含有此漏洞,而且是Windows、OS X、Linux各平臺版本都不例外,各資訊安全公司也發現,不管搭配哪個瀏覽器,都一樣會遭入侵。之前的舊版Java則不確定會受此漏洞影響,不過舊版可能含有其他的問題,因此各資訊安全公司均認為用戶不該降級使用舊版。
資訊安全公司DeepEnd及Secunia也指出,此波攻擊的Java程序修改了Java的安全性管理規則,導致Java程序可以不受這些規則限制,可以為所欲為。
DeepEnd公司表示,從Oracle買下SUN取得Java以來,幾乎不曾在每季定期更新之外推出安全更新,他們希望Oracle此次能夠破例,因為下一次定期更新(10/16)還有一個半月的日期。
該公司也開發一個修補該漏洞的工具程序,可以阻止這個惡意Java程序執行,但如果不法之徒取得該程序,可能用來發展新一波的攻擊,因此該工具僅提供給大批電腦且依賴Java運作的資訊管理人員使用。
目前發現的攻擊事件都是針對Windows上的Java 7,但資訊安全顧問公司Accuvant已經證實同樣的漏洞可以在OS X及Linux上進行攻擊,因此這些系統的用戶可能也需要停用或解除Java才能保護系統的安全。
上個月舉辦的黑帽大會中,專家曾指出因為Java具有跨平臺的特性,因此Java的漏洞越來越受注目,Java漏洞往往很快就被加入攻擊用的工具程序中。