兩次更新徒勞無功,Java再爆嚴重漏洞
http://www.ithome.com.tw/itadm/article.php?c=79160
就在蘋果、臉書與微軟宣布受駭消息,並於甲骨文公司釋出兩次緊急更新之後,Security Explorations公司執行長Adam Gowdiak對外公布兩個新問題(Java 7被發現到的第54、55號問題),藉由這兩個問題,駭客可以成功繞過Java的安全沙箱,對使用者資料進行竊取、破壞。Adam Gowdiak表示:「這兩個新問題只影響Java SE 7,駭客以一種十分有趣的方式利用了Reflection API,現在該是甲骨文出面的時刻了」。
兩個漏洞報告,甲骨文僅承認其一
Adam Gowdiak已向甲骨文提交這兩個問題的相關影響與技術報告,但為避免被駭客知悉問題內容並加以利用,他並未對外揭露新問題的細節。
然而針對Adam Gowdiak提交的報告,甲骨文公司僅承認55號問題為「安全性弱點」,而將54號問題視為「可允許行為」。甲骨文發表聲明後,Adam Gowdiak隨即表示不同意此項說法,並宣稱若甲骨文繼續將54號問題視為「可允許行為」,他將把問題細節公諸於世,而甲骨文也承諾願意繼續調查。
然而,資安公司FireEye研究員Darien Kindlund與Yichong Lin卻發現已有駭客利用McRAT這套遠端存取工具,對使用者進行攻擊。甲骨文則在2013年3月4日緊急釋出Java 7第17版更新。
此外,雖然甲骨文先前表示Java 6第41版是其最後更新,然而3月4日甲骨文卻釋出了Java 6第43版更新。甲骨文再次表示,這將是Java 6的最後一版更新,並建議Java 6的使用者升級至Java 7。
另外,防毒軟體公司Sophos的資深科技顧問Graham Cluley表示,駭客攻擊途徑與之前攻擊臉書、蘋果和微軟的手法十分類似,都是先引誘使用者進入釣魚網頁,隨後以含惡意程式碼的Java Applet入侵使用者電腦。
企業防護要點,首重員工網頁瀏覽行為
駭客的攻擊途徑是引誘使用者進入釣魚網頁,並在使用者未允許的情形下執行此網頁上的Java Applet。因此企業防護的重點,首在前端員工的網路瀏覽行為。聖藍科技研發技術長王建興則認為,關閉瀏覽器上的Java Applet插件是根本的解決之道。
此外,Websense臺灣區技術總監莊添發表示,企業應安裝更新管理系統,以能即時替內部各端點電腦自動下載更新,保持最新版本狀態。另外由於駭客攻擊手法是以合法網站作為跳板,過去普遍以URL資料庫為判準來限制網頁瀏覽的EIM(Enterprise Information Management)系統,已無法有效因應這波攻擊。莊添發認為,企業應部署能動態分析網頁內容的安全系統,以作為因應。
此外,莊添發表示,企業要保護重要內部資料,建置資料外洩防護(Data Leakage Prevention,DLP)系統、以及提升對進階持續性滲透攻擊(Advanced Persistent Threats,APT)的防護能力是當務之急。Graham Cluley建議,如果不需要用到Java,就立刻關掉它。文☉楊智傑
Java漏洞連環爆,企業防護重點
1. 管控員工上網行為,避免瀏覽含有Java Applet的惡意網站
2. 關閉員工瀏覽器上的Java Applet插件
3. 安裝更新管理系統,將員工電腦上的Java升至最新版
4. 部署具動態分析網頁內容的安全系統,即時偵測網頁異常動態
--
...連環爆還沒完
順便一下
刑事局:中小型購物網站容易成為駭客入侵目標
http://www.ithome.com.tw/itadm/article.php?c=79194
刑事警察局提醒,國內中小型購物網站常因系統老舊、未作安全更新,或使用盜版軟體而造成資安漏洞,容易成為駭客鎖定竊取個資的目標,導致國內網路購物詐騙事件盛行。
隨著國內網路購物發達,消費者習慣在網路比價購物,為了較便宜的價格而找上中小型購物網站或個人賣家交易。刑事警察局指出,這類中小型購物網站可能因小規模經營,或是個人工作室型態,以簡易套裝軟體、架站,或是免費、盜版軟體經營網購平台,缺乏一定預算或資安防護,容易成為駭客入侵的對象。
刑事警察局根據165詐騙專線民眾報案的資料,找出多家B2C、C2C網站及訂單管理系統商曾出現資安漏洞,調查發現這些網站資料庫大多遭駭客以SQL Injection隱碼攻擊手法入侵,部份網站因作業系統太過老舊,無法更新修補程式。
有些業者則是委託其他公司製作網站,造成套裝網站存在相同的資安漏洞,某些網站設計公司為節省成本再外包給其他公司製作,造成更大的資安風險。刑事警察局表示,多數電子商務業者具備的資安防護概念程度不一,防護不足的網站容易被植入後門或惡意程式,駭客竊取這些購物網站、業者個人電腦內的資料,導致交易資料外洩。
被竊的資料遭詐騙集團利用,假冒為商家客服人員,欺騙消費者操作ATM解除分期付款為手法,實際上透過ATM轉帳方式詐騙錢財,因而造成消費者更大的財務損失,這類詐騙案例在國內層出不窮。
刑事警察局呼籲,業者經營電子商務應建立資安防護機制,儘量不要委外網站設計,應聘請專門的網站設計及IT人員管理,安裝防毒軟體、防火牆,並不定期檢查Log檔紀錄,不開啟來路不明電子郵件或惡意程式。新版個資法已在去年10月施行,電子商務商家被入侵遭竊個資,可能蒙受商譽、金額損失及違法風險。
另外,IDC近日發佈微軟委託的「2013非正版軟體危險調查報告」,網路下載盜版軟體中78%藏有間諜軟體,36%藏有木馬程式,不僅會停止電腦的自動更新功能,還會關閉防火牆,駭客入侵電腦竊取資料,也可能使用戶個人隱私外洩。個人或企業需花費更多成本處理。基於這份調查報告,刑事警察局建議企業及個人透過正常管道取得合法軟體,保護個資、隱私安全。