作者：編輯部 -01/21/2013

甲骨文(Oracle)日前才修補Java最新零時差漏洞，詳情請見Java 重大安全漏洞 甲骨文火速釋出更新，後續卻風波不斷，資安公司觀察到，網路上出現偽裝成Java更新程式(Java 7 Update 11)的惡意軟體，US-CERT（美國國土安全部電腦警備小組則表示，更新後的Java程式依舊不安全，並呼籲全球使用者最好立刻解除瀏覽器上的Java程式。

趨勢科技於1/17發出安全警告，指出已經在不只一個網站上偵測到偽裝成Java 7 Update 11的惡意軟體，使用者要特別留意更新程式的來源。一旦安裝這個偽造的更新程式，就會自動下載後門程式至電腦中，同時會連到遠端伺服器，讓遠端伺服器可以控制該台電腦。

US-CERT則建議使用者最好暫時停用Java，因為Java仍然存在著其他未修補的漏洞，許多資安專家也同意這樣的說法，資安公司Immunity指出，甲骨文只修補了一個漏洞，另一名資安專家Brian Krebs則發現有人在黑市兜售新的Java漏洞，這些訊息再度證實US-CERT的疑慮。

Brian Krebs在KrebsOnSecurity部落格指出，有人在論壇上發文表示，已經掌握一個新的Java零時差漏洞（包含攻擊工具與程式碼），且該漏洞未曾出現在任何攻擊套件中，希望以5000美元價格販售給兩位買主。該訊息發布不久之後很快就被刪除，市場認為應該是兜售者已經找到買主。

許多資安專家表示，多數使用者實際上不需要使用Java，因此移除Java不會造成任何影響，至於那些需要仰賴Java程式的用戶，則建議使用Firefox或Chrome瀏覽器，透過其內建的Click To Play功能，將外掛程式預設為停用，等到需要使用時再點擊下載和播放，以降低風險。

由於Java是跨平台技術，Windows及Mac皆可使用，因此越來越多駭客運用Java漏洞進行攻擊，其安全問題在過去一年來吵得沸沸揚揚，也令許多企業和用戶感到相當頭痛，根據卡巴斯基(Kaspersky)報告，2012年第三季，至少有一半以上的駭客都運用Java漏洞展開攻擊。由此觀之，甲骨文需要採取更好的措施，才能避免讓Java繼續淪為駭客的攻擊工具。



　

原文網址: 偽裝成更新的惡意軟體 US-CERT建議停用Java,

Information Security 資安人科技網

http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7328#ixzz2JbfTxkr9