美國國土安全部警告 JAVA嚴重漏洞應立即停用

水龍王 · 發表於 2013-1-11 20:35:24

美國土安全部警告：Java嚴重漏洞招黑客
2013年01月11日 17:07

　　美國國土安全部轄下電腦資安單位 CERT 發出警告，指甲骨文(Oracle)軟件Java 爆發嚴重安全漏洞問題，恐令全球數億計個人電腦遭黑客攻擊，建議使用者立即解除安裝。

　　CERT在官方網站上警告，Java 7 升級10 (Java 7 Update 10) 及之前的版本包含一個不明的安全漏洞。

　　CERT表示，電腦使用者打開一特製的HTML檔案後，黑客就會自遠端進入電腦系統執行任意指令。由於他們目前還不知道如何解決這個漏洞的實際辦法，因此建議電腦使用者將網路瀏覽器的 Java 解除安裝。

　　企業資訊安全顧問表示，無論採用 Windows、Mac OS X 或 Linux 作業系統的個人電腦，都可能因這個 Java 安全漏洞受到攻擊。

http://www.headlinefinance.hk/inews_finance_news_content.php?nid=91439

JAVA傳漏洞下載風險高

2013-01-11 11:53
新聞速報
【中央社】

　外電報導，美政府指甲骨文的JAVA軟體有漏洞，籲民眾停用。甲骨文台灣分公司沒有回應，台灣商業軟體聯盟則表示，JAVA是很廣泛運用的程式環境，漏洞的確帶來高風險。

　美國國土安全部（US Department of Homeland Security ）今天警告，商用軟體大廠甲骨文公司（Oracle Corp）的Java軟體非常危險，民眾應停用。

　記者連繫甲骨文台灣分公司，但未獲回應。

　商業軟體聯盟(BSA)區域經理馬培治則表示，帶來漏洞風險應指JAVA 7；在一些由瀏覽器觀看的互動軟體、即時軟體，像股市看盤軟體等，通常都要搭配下載這種JAVA的執行環境。

　馬培治說，由於電腦下載JAVA太普遍，很多人使用的線上互動程式，都下載JAVA而不自知，因此JAVA漏洞如遭攻擊，真的是一個嚴重問題。目前一些資安公司或許可過濾出一些危險網頁名單，加以阻隔，讓民眾不要去點閱，以繞道方式減低風險，但JAVA本身的漏洞，還是要由甲骨文出面，才能根本解決。

http://news.chinatimes.com/tech/12050903/132013011100734.html

美國土安全部警告：Java爆重大安全漏洞！任何PC恐遭攻擊應立即停用
綜合外電　　2013-01-11 16:25:14　

美國國土安全部轄下電腦資安單位 CERT 周四 (10 日) 發布警告，指使用率相當高的甲骨文 (Oracle)(ORCL-US) 軟體 Java 爆發嚴重安全漏洞問題，恐令全球數億台安裝該軟體的個人電腦 (PC) 遭到駭客惡意攻擊，建議使用者應該立即解除安裝停用。

美國土安全部電腦緊急迅速反應小組 (CERT) 在官方網站上警告，Java 7 升級10 (Java 7 Update 10) 及之前的版本包含一個不明的安全漏洞，可讓駭客侵入 PC自遠端執行任意指令。

他們並警告，這個漏洞正暴露在肆無忌憚的攻擊威脅中，因數款攻擊軟體套件 (exploit kits) 的開發人員，已加入利用新發現的 Java 安全漏洞來進行攻擊的軟體。

Java 是一種電腦語言，讓程式設計師只需用一組編碼，就能寫出幾乎能在任何種類電腦上運作的軟體程式。這也讓網站開發人員能以此技術，架設出不同作業系統使用者都能透過網路瀏覽器打開看到的網站，無論是微軟 (Microsoft)(MSFT-US) Windows 或蘋果 (Apple)(AAPL-US) 麥金塔 (Mac) 電腦的用戶。電腦使用者則能透過安裝的 Java 軟體，在 IE (Internet Explorer) 或 Firefox 等瀏覽器之上見到這些外掛程式。

CERT 表示，駭客能利用這個新發現的 Java 安全漏洞，說服電腦使用者打開一特製的 HTML 檔案，進而開啟漏洞、讓駭客自遠端進入電腦系統執行任意指令。由於他們目前還不知道如何解決這個漏洞的實際辦法，因此建議電腦使用者將網路瀏覽器的 Java 解除安裝。

這個安全漏洞首先由獨立資安研究人員 Kafeine 發現，並通報當局及在個人部落格發佈消息。早已知悉此漏洞的資安企業 AlienVault Labs 研究經理 Jaime Blasco 甚至直言：「Java 一團糟。它並不安全。」，表示這個漏洞的特性讓它很容易被駭客利用來欺騙系統，警告「任何一個使用者及任何一種系統」都可能中彈受害。

Java 是由甲骨文併購昇陽 (Sun Microsystems) 時所取得的軟體資產。Blasco 補充，由於甲骨文針對這類安全漏洞，通常得花一周至 1 個月才會發布補救軟體，因此電腦用戶務必盡快先解除安裝 Java。

企業資安顧問公司 Rapid7 資安主任 HD Moore 對《路透社》表示，無論採用 Windows、Mac OS X 或 Linux 作業系統的 PC，都可能因這個 Java 安全漏洞受到攻擊。「這宛如 (駭客) 對消費者的公然獵季」。

CERT警告聲明網址：http://www.kb.cert.org/vuls/id/625617

http://news.cnyes.com/Content/20130111/KH5HFSTOB9AE7.shtml?c=us_stk