吳明宜SANS Institute安全研究員Daniel Wesemann基於甲骨文最近公佈的重大安全公告,而於上週四警告Java用戶儘快安裝Java修補程式。上個月甲骨文了Java SE及Java for Business產品共達29項安全修補程式。
 |
SANS Institute 安全研究員 Daniel Wesemann 基於甲骨文最近公佈的重大安全公告,而於上週四警告 Java 用戶儘快安裝 Java 修補程式。上個月甲骨文了 Java SE 及 Java for Business 產品共達 29 項安全修補程式。
新的重大修補程式更新包含了前一次的所有修補程式。其中許多弱點可能導致 PC 遭到惡意程式攻擊。若你造訪了一個曾被種下惡意程式的網站,你的 Java 程式就可能就會被入侵,並自動把病毒引進你的電腦,甚至使你 PC 變成傀儡網路的一員。
上個月微軟也曾發佈一個類似的 Java 安全公告,警告有「前所未見的 Java 攻擊潮」。有趣的,大部份這些攻擊只針對三項弱點而來,而 Adobe 一直以來也藉由安全更新來修補。
根據 Wesemann 指出,「情況似乎沒有好轉,歹徒一直想乘虛而入。」
Java 攻擊的嚴重性不亞於其他惡意程式。例如,「bpac」攻擊是藉由掛馬式攻擊,下載 applet 或 PDF 檔,然後再開始下載可執行檔 (EXE) 。
「EXE 檔內容可精彩了—最近我們發現一個包含了至少 66 種其他的惡意 EXE 程式。使用者應該會查察覺到有不好的東西,但他卻無法把所有的惡意完全清除掉。」Wesemann 說。
因此,「如果你還沒安裝的話,快把 PC 裡每一支 Java 程式都找出來修補。」
還無法修補所有 Java 程式的企業,還有權宜之計可行。例如,安全研究人員 David Sharpe 建議企業安裝入侵防護系統來修補七大弱點,因為目前一些知名的犯罪工具就已使用它們來逞兇,而且受害人數相當多。