Java漏動出現大量攻擊，使用者立即修補！
http://www.ithome.com.tw/itadm/article.php?c=79975

資安公司F-Secure發佈一份資安通告，表示有惡意軟體利用甲骨文（Oracle）上周才剛修補的漏洞展開大量攻擊，因此使用者應立即更新Java至最新版本Java 7 Update 21。另一方面，也有資安專家在Java 7 Update 21中又找到新的漏洞。

獨立惡意軟體研究人員Kafeine也發現一個勒索軟體Reveton利用此次更新的漏洞進行攻擊，該惡意軟體會鎖住電腦作業系統，然後以使用者使用非法軟體或非法下載為藉口，要求繳交罰金。

F-Secure表示，多個惡意軟體使用上周Java 7 Update 21所修補的39個遠端執行碼漏洞之一，並將其包裹在RedKit或CrimeBoss攻擊套件之中，上周日（4/21）這些攻擊程式被啟動並感染非特定的使用者。新的攻擊程式碼架構與一個用於預防滲透或入侵的Metasploit framework類似，大部分的攻擊事件都在該模組加入新修補漏洞後隔天出現。

媒體指出，私人企業銷售類似或更強大的入侵工具給政府機關已經有些時日，價格大約為數十萬美元，Metasploit這個開放源碼專案在正面用途可以檢驗出漏洞並提升網站安全，但也導致惡意程式模仿其能力進行攻擊。

F-Secure並沒有說明該惡意程式所在的伺服器或如何展開攻擊，但根據Oracle的漏洞說明，利用該漏洞之後遠端執行程式不需要驗證就可以執行。

另一家資安公司Security Explorations表示，雖然還未看到攻擊事件，但他們在最新版本的Java 7 Update 21中找到新的漏洞，該漏洞位於Java的Reflection API，可以讓程式跳過Java的沙箱保護機制。

該公司執行長Adam Gowdiak向媒體表示，Reflection API經常導致Java 7出現漏洞，如果使用不當很容易引發安全問題。他還指責Oracle一直讓大眾以為這些遠端執行漏洞僅會影響到終端使用者，但該公司曾經證明這些漏洞同樣可以對Java伺服器進行攻擊。（編譯/沈經）