[業界資訊] Java瑕疵美：恐遭駭

，描述： Java軟體的1個瑕疵構成重大「遇駭」風險

Java瑕疵美：恐遭駭Refer to following URL: http://news.sina.com.tw/article/20130111/8750268.html

（中央社舊金山10日綜合外電報導）美國國土安全部今天警告，商用軟體大廠甲骨文公司（Oracle Corp）Java軟體的1個瑕疵構成重大「遇駭」風險，民眾應停止使用。

國土安全部電腦安全緊急應變小組（CERT）在官網發布的通知說：「這個瑕疵目前成為攻擊的弱點，且據報漏洞已經被收入攻擊工具中。」

「我們目前還沒發現可行的解決方案。」建議的解決方案是解除安裝Java。

Java通常以網路瀏覽器的外掛程式運作，由於它讓開發人員用一種程式碼，就能開發出每種電腦作業系統都能上的網站，因此廣受歡迎。

多家安全公司呼應CERT警告，表示駭客引導民眾進入佈滿陷阱的網站後，就可利用Java漏洞在電腦上執行程式碼。

3名電腦安全專家今天告訴路透社，電腦用戶應該解除安裝Java，以避免受到攻擊。

安全公司 AlienVault Labs實驗室經理布拉斯科（Jaime Blasco）說：「Java一團糟，並不安全。」「你必須解除安裝。」

網路安全供應商Rapid7的首席安全主管摩爾（HD Moore）表示，採用Mac OS X、Linux、Windows等系統的電腦似乎都無法對攻擊免疫。

甲骨文發言人表示無法立即就此事置評。

詳全文 Java瑕疵美：恐遭駭-科技新聞-新浪新聞中心 http://news.sina.com.tw/article/20130111/8750268.html

收藏分享評分

回復引用

訂閱 TOP

子鷺

中級忍者

Rank: 3 Rank: 3

2^#

發表於 2013-1-13 02:07 PM | 只看該作者

但佢java又要auto update，唔up用唔到，可以點做？

回復引用

TOP

sam心

中級忍者

Rank: 3 Rank: 3

3^#

發表於 2013-1-13 04:57 PM | 只看該作者

睇新聞話剷Java 7 !!! ... 剷之後.... 發覺快... 大家都試

回復引用

TOP

wai008

浪人

4^#

發表於 2013-1-13 05:15 PM | 只看該作者

一向都覺 Java 及 Flash 都是危險產品, 偏偏各大網頁都要用, 無計.

回復引用

TOP

danlitw

見習忍者

Rank: 1

5^#

發表於 2013-1-13 09:31 PM | 只看該作者

不敢想像沒有JAVA的網頁會是什麼樣子

回復引用

TOP

wai008

浪人

6^#

發表於 2013-1-16 06:43 PM | 只看該作者

美國國土安全部（Department of Homeland Security）旗下的美國電腦緊急應變小組（US-CERT）上周警告Java 7含有零時差漏洞，甲骨文幾天後即釋出Java 7 update 11進行修補，然而US-CERT仍然建議，除非一定要在瀏覽器中執行Java，否則在更新至Java 7 update 11後最好還是關閉Java，以防未來可能出現的其他Java漏洞。

US-CERT指出，甲骨文宣稱Java 7 update 11修補了兩項嚴重漏洞，但資安業者Immunity卻說甲骨文只修補其中一項漏洞，而且Java 7 update 11只是把Java的安全預設值調高，以在系統執行未授權的Java程式時跳出提醒。

Immunity說明，軟體業者透過修補程式解決蠕蟲/0day漏洞的時候，並不一定會去解決所有的相關問題，而他們仔細研究Java 7 update 11時發現，甲骨文只處理了當中一個漏洞，意味著另一個漏洞仍會被攻擊；此一修補程式的確因解決其中一個問題而阻止了攻擊程式，但了解Java的駭客在另一個零時差漏洞的協助下將能繼續危害使用者。

Immunity警告，Java已成為駭客經常鎖定的目標，因此若駭客以另一個漏洞來取代已修補的漏洞且再度執行攻擊一點都不令人訝異，甲骨文及Java用戶應該關心各個漏洞，因為每個漏洞都很重要。

US-CERT建議使用者關閉瀏覽器的Java功能，或是限制Java程式的存取。

回復引用

TOP

jony310906