美國土安全部警告：Java爆重大安全漏洞！任何PC恐遭攻擊應

jconstantine · 發表於 13-1-12 13:02

美國國土安全部轄下電腦資安單位 CERT 週四 (10 日) 發佈警告，指使用率相當高的甲骨文 (Oracle)(ORCL-US) 軟體 Java 爆發嚴重安全漏洞問題，恐令全球數億台安裝該軟體的個人電腦 (PC) 遭到駭客惡意攻擊，建議使用者應該立即解除安裝停用。
美國土安全部電腦緊急迅速反應小組 (CERT) 在官方網站上警告，Java 7 升級10 (Java 7 Update 10) 及之前的版本包含一個不明的安全漏洞，可讓駭客侵入 PC自遠端執行任意指令。他們並警告，這個漏洞正暴露在肆無忌憚的攻擊威脅中，因數款攻擊軟體套件 (exploit kits) 的開發人員，已加入利用新發現的 Java 安全漏洞來進行攻擊的軟體。
Java 是一種電腦語言，讓程式設計師只需用一組編碼，就能寫出幾乎能在任何種類電腦上運作的軟體程式。這也讓網站開發人員能以此技術，架設出不同作業系統使用者都能透過網路瀏覽器打開看到的網站，無論是微軟 (Microsoft)(MSFT-US) Windows 或蘋果 (Apple)(AAPL-US) 麥金塔 (Mac) 電腦的用戶。電腦使用者則能透過安裝的 Java 軟體，在 IE (Internet Explorer) 或 Firefox 等瀏覽器之上見到這些外掛程式。
CERT 表示，駭客能利用這個新發現的 Java 安全漏洞，說服電腦使用者打開一特製的 HTML 檔案，進而開啟漏洞、讓駭客自遠端進入電腦系統執行任意指令。由於他們目前還不知道如何解決這個漏洞的實際辦法，因此建議電腦使用者將網路瀏覽器的 Java 解除安裝。
這個安全漏洞首先由獨立資安研究人員 Kafeine 發現，並通報當局及在個人部落格發佈消息。早已知悉此漏洞的資安企業 AlienVault Labs 研究經理 Jaime Blasco 甚至直言：「Java 一團糟。它並不安全。」，表示這個漏洞的特性讓它很容易被駭客利用來欺騙系統，警告「任何一個使用者及任何一種系統」都可能中彈受害。
Java 是由甲骨文併購昇陽 (Sun Microsystems) 時所取得的軟體資產。Blasco 補充，由於甲骨文針對這類安全漏洞，通常得花一週至 1 個月才會發佈補救軟體，因此電腦用戶務必盡快先解除安裝 Java。
企業資安顧問公司 Rapid7 資安主任 HD Moore 對《路透社》表示，無論採用 Windows、Mac OS X 或 Linux 作業系統的 PC，都可能因這個 Java 安全漏洞受到攻擊。「這宛如 (駭客) 對消費者的公然獵季」。

解決方案還沒出來.....大家可以留意後續推出的更新

綠茶妹 · 發表於 13-1-12 16:22

謝謝分享。
如果不要上奇怪的網站應該可以降低風險吧。

閒人英郎 · 發表於 13-1-12 16:37

米国国土安全部主要作用是
对付恐怖分子
软体问题由他们提出警告
好像有点小题大作

bobo177 · 發表於 13-1-12 17:27

只要電腦一連上線,
就難免會有這些狀況,
所以還是多多注意為好...

莫藍 · 發表於 13-1-12 20:07

駭客真是防不勝防

Sirius · 發表於 13-1-12 22:17

個人一直對Java沒啥好感，但有時也不得不用
這次要看這家世上數一數二的軟體公司要花多少時間修補這個安全漏洞

行年 · 發表於 13-1-12 22:26

那股價又會下趺了..

行年 · 發表於 13-1-14 15:40

《國際產業》甲骨文發布Java緊急更新，專家：仍不安全
【時報-記者柯婉琇綜合外電報導】甲骨文周日發布Java軟體的緊急更新版本，惟資安專家表示，該補救措施無法保護個人電腦(PC)免於受到網路駭客攻擊。　
美國國土安全部上周四提出警告，Java軟體存在安全漏洞，可能被利用以竊取個資或從事網路犯罪，因此建議PC用戶停用Java軟體。甲骨文上周六證實產品存在漏洞，周日並在自家部落格發布更新軟體，以補強網路瀏覽器軟體Java 7出現的兩個安全弱點。此外，甲骨文亦將Java軟體的安全性設定調升至「高度」，提高可疑程式在用戶不知情的情況下侵入PC的困難度。　
然而，過去一年發現Java軟體數個安全瑕疵的波蘭Security Explorations研究員Adam Gowdiak表示，甲骨文發布的緊急更新軟體仍有數個關鍵的安全漏洞未獲解決。他表示：「我們不敢告訴使用者，再次啟用Java是安全的。」

jconstantine · 發表於 13-1-14 16:37

Java 7重大安全漏洞獲證 Apple 禁用Java

Apple 更新Xprotect.plist黑名單文件，更新後的文件要求Java的最低版本為1.7.0_10-b19，而目前最新的Java 7版本為1.7.0_10-b18，這意味著目前Mac電腦中已經安裝的Java會自動被禁用　　Java 7被曝發現存在重大安全漏洞後，美國國土安全局(U.S. Department of Homeland Security)建議用戶禁用Java 7瀏覽器插件， Apple 也第一時間做出反應，在Mac電腦中禁用Java。
　　Java 7被曝存在的安全漏洞容易被黑客利用，通過安裝第三方軟件對用戶電腦發動攻擊，增加用戶身份信息被盜用的機會。此外，該漏洞還可以被用來實施拒絕服務(DoS)攻擊，導致網絡癱瘓。
　　Java 7漏洞被曝光後， Apple 對此反應非常迅速，已通過技術手段讓所有已經安裝Java的Mac電腦將自動禁用Java，直到更新版補丁的發佈。 Apple 採取的具體做法是更新Xprotect.plist黑名單文件，更新之後的文件要求Java的最低版本為1.7.0_10-b19，而目前最新的Java 7版本為1.7.0_10-b18，這意味著目前Mac電腦中已經安裝的Java會自動被禁用。
　　2010年10月之前， Apple 一直為OS X系統提供自家的Java運行環境支援，之後才將OS X的Java運行環境支援轉交給甲骨文。 Apple 前CEO史蒂夫‧喬布斯(Steve Jobs)稱這麼做的原因是 Apple 自家支援時的更新速度總比甲骨文慢一拍，因此交回給甲骨文提供運營環境支援是更好的選擇。
　　但直到去年8月，OS X平台的Java運行環境才算正式移交給甲骨文。甲骨文隨後就針對OS X平台正式發佈了Java 7(Java 7 for OS X)。不過 Apple 並未在Mac系統中預設安裝Java 7，這意味著此次Java漏洞問題的影響有限，不會波及那些沒有安裝Java的用戶。
　　週六晚些時候，甲骨文証實了Java 7中漏洞的存在，並表示將很快提供一個修複補丁。不過截至目前，該公司還沒有進一步透露該修複補丁的具體發佈時間。

jconstantine · 發表於 13-1-21 14:21

一週前，Java曝出了兩個遠程攻擊漏洞，甲骨文隨後發布了Java 7 Update 11，對這兩個漏洞進行了修復。但是，安全研究人員和美國國土安全部都認為，Java仍然存在安全隱患，即使是安裝了最新的Java 7 Updat 11，大家還是儘量在不需要的時候將之禁用。

那邊話音未落，這邊Java又曝出了新的安全漏洞。波蘭安全機構最新發現了Java的兩個新漏洞，它們同樣能夠允許攻擊者在用戶的計算機上運行任意代碼。該安全機構並未公開這兩個漏洞的詳情，而是報告給了甲骨文，希望在沒有發生重大影響前甲骨文能將它們修復。

幸運的是，Java 7 Update 11將安全設置默認提高至「高」。當安全設置的等級為「高」時，applet的執行需要用戶的授權，當你訪問惡意網站時就會在applet運行前收到通知，從而避免惡意applet運行。這一舉措能在一定程度上減輕惡意代碼的影響，但是，很多用戶會盲目地點擊Yes允許任意applet運行，建議大家在今後的使用中慎重一些。

lantis · 發表於 13-2-24 12:51

短短一個月已經更新好幾次了
公司真的愈大愈沒效率
已經是 Java 7 Update 15

		自動登錄	找回密碼
密碼			註冊

美國土安全部警告：Java爆重大安全漏洞！任何PC恐遭攻擊 應

美國土安全部警告：Java爆重大安全漏洞！任何PC恐遭攻擊應