美国国土安全部辖下电脑资安单位CERT 周四(10 日) 发布警告,指使用率相当高的甲骨文(Oracle)(ORCL-US) 软体Java 爆发严重安全漏洞问题,恐令全球数亿台安装该软体的个人电脑(PC) 遭到骇客恶意攻击,建议使用者应该立即解除安装停用。
美国土安全部电脑紧急迅速反应小组(CERT) 在官方网站上警告,Java 7 升级10 (Java 7 Update 10) 及之前的版本包含一个不明的安全漏洞,可让骇客侵入PC自远端执行任意指令。
他们并警告,这个漏洞正暴露在肆无忌惮的攻击威胁中,因数款攻击软体套件(exploit kits) 的开发人员,已加入利用新发现的Java 安全漏洞来进行攻击的软体。
Java 是一种电脑语言,让程式设计师只需用一组编码,就能写出几乎能在任何种类电脑上运作的软体程式。这也让网站开发人员能以此技术,架设出不同作业系统使用者都能透过网路浏览器打开看到的网站,无论是微软(Microsoft)(MSFT-US) Windows 或苹果(Apple)(AAPL -US) 麦金塔(Mac) 电脑的用户。电脑使用者则能透过安装的Java 软体,在IE (Internet Explorer) 或Firefox 等浏览器之上见到这些外挂程式。
CERT 表示,骇客能利用这个新发现的Java 安全漏洞,说服电脑使用者打开一特制的HTML 档案,进而开启漏洞、让骇客自远端进入电脑系统执行任意指令。由于他们目前还不知道如何解决这个漏洞的实际办法,因此建议电脑使用者将网路浏览器的Java 解除安装。
这个安全漏洞首先由独立资安研究人员Kafeine 发现,并通报当局及在个人部落格发布消息。早已知悉此漏洞的资安企业AlienVault Labs 研究经理Jaime Blasco 甚至直言:「Java 一团糟。它并不安全。」,表示这个漏洞的特性让它很容易被骇客利用来欺骗系统,警告「任何一个使用者及任何一种系统」都可能中弹受害。
Java 是由甲骨文并购升阳(Sun Microsystems) 时所取得的软体资产。Blasco 补充,由于甲骨文针对这类安全漏洞,通常得花一周至1 个月才会发布补救软体,因此电脑用户务必尽快先解除安装Java。
企业资安顾问公司Rapid7 资安主任HD Moore 对《路透社》表示,无论采用Windows、Mac OS X 或Linux 作业系统的PC,都可能因这个Java 安全漏洞受到攻击。「这宛如(骇客) 对消费者的公然猎季」。
