最近好像 JAVA 的好兄弟 沒什麽災難
（好兄弟 FLASH）

JAVA7不是甲骨文自己修的?

甲骨文會自己怪自己麽

好兄弟來了

Adobe 緊急修補遭駭客鎖定的 Flash 漏洞
http://www.ithome.com.tw/itadm/article.php?c=79006

由於媒體播放器Flash Player的兩個漏洞已遭駭客鎖定並展開攻擊，使得Adobe周二（2/26）釋出緊急更新進行修補。

Adobe此次修補了CVE-2013-0504、CVE-2013-0643與CVE-2013-0648等3個漏洞，其中的CVE-2013-0643與CVE-2013-0648漏洞已有相關攻擊程式現身，並鎖定Firefox中的Flash Player。

Adobe於產品安全事件回應團隊（Adobe Product Security Incident Response Team，PSIRT）部落格表示，針對這兩個漏洞的攻擊先是誘導使用者點選連至惡意網站的連結，然後提供有毒的Flash內容。

Mozilla才於今年1月祭出更嚴格的Firefox外掛程式政策，當使用者造訪網站時，將不再自動載入所需的外掛程式，而是要手動透過Click to Play載入這些外掛程式。

只是，該政策雖然封鎖了所有外掛程式的各種版本，包含Silverlight、Java或Adobe Reader等，但唯一允許自動執行的例外就是最新版的Flash，此次出問題的也就是最新版的Flash。

Adobe本周的更新支援Windows、Mac及Linux等平台，並說明這些平台上的Flash漏洞可能導致當機或是讓駭客掌控使用者的電腦。（編譯/陳曉莉）

甲骨文緊急修補上周發現的Java漏洞
http://www.ithome.com.tw/itadm/article.php?c=79091

資安業者FireEye上周警告新的Java零時差漏洞，影響Java 6 Update 41及Java 7 Update 15，甲骨文則於周一釋出緊急更新修補這兩個版本的Java漏洞。

甲骨文釋出的是Java 6 Update 43及Java 7 Update 17，原本Java 6 Update 41已是Java 6最後一個更新版，但該漏洞使得甲骨文破例進行更新，同時建議使用者升級至Java 7。

甲骨文表示，這些漏洞未經授權即可進行遠端攻擊，例如不需使用者名稱或密碼就能透過網路攻擊，使用者必須透過瀏覽器造訪惡意網站才會被波及，遭攻擊時將影響使用者系統的完整性與可用性。

甲骨文軟體安全總監Eric Maurice指出，甲骨文是在今年2月1日收到FireEye的通知，但來不及在2月19日釋出的Java SE重大更新（Critical Patch Update）中修補，原本打算要在4月16日的Java SE重大更新再行修補，但因已出現實際攻擊行動，為了保障Java SE客戶的安全，才決定釋出緊急更新。

Maurice說，相關漏洞都只影響Java SE的2D元件，而未波及伺服器版的Java．桌面的Java程式或嵌入式的Java程式，但這些漏洞被列為最危急的CVSS 10等級，使用者應儘快進行更新。（編譯/陳曉莉）

--

這大洞到底補好了沒
讓我們繼續看下去

下免空專用的Jdownloader，需要JAVA才能動，我是用免安裝版，這樣也會有事嗎?

白馬下載器等都沒有這支好用

兩次更新徒勞無功，Java再爆嚴重漏洞
http://www.ithome.com.tw/itadm/article.php?c=79160

就在蘋果、臉書與微軟宣布受駭消息，並於甲骨文公司釋出兩次緊急更新之後，Security Explorations公司執行長Adam Gowdiak對外公布兩個新問題（Java 7被發現到的第54、55號問題），藉由這兩個問題，駭客可以成功繞過Java的安全沙箱，對使用者資料進行竊取、破壞。Adam Gowdiak表示：「這兩個新問題只影響Java SE 7，駭客以一種十分有趣的方式利用了Reflection API，現在該是甲骨文出面的時刻了」。

兩個漏洞報告，甲骨文僅承認其一
Adam Gowdiak已向甲骨文提交這兩個問題的相關影響與技術報告，但為避免被駭客知悉問題內容並加以利用，他並未對外揭露新問題的細節。

然而針對Adam Gowdiak提交的報告，甲骨文公司僅承認55號問題為「安全性弱點」，而將54號問題視為「可允許行為」。甲骨文發表聲明後，Adam Gowdiak隨即表示不同意此項說法，並宣稱若甲骨文繼續將54號問題視為「可允許行為」，他將把問題細節公諸於世，而甲骨文也承諾願意繼續調查。

然而，資安公司FireEye研究員Darien Kindlund與Yichong Lin卻發現已有駭客利用McRAT這套遠端存取工具，對使用者進行攻擊。甲骨文則在2013年3月4日緊急釋出Java 7第17版更新。

此外，雖然甲骨文先前表示Java 6第41版是其最後更新，然而3月4日甲骨文卻釋出了Java 6第43版更新。甲骨文再次表示，這將是Java 6的最後一版更新，並建議Java 6的使用者升級至Java 7。

另外，防毒軟體公司Sophos的資深科技顧問Graham Cluley表示，駭客攻擊途徑與之前攻擊臉書、蘋果和微軟的手法十分類似，都是先引誘使用者進入釣魚網頁，隨後以含惡意程式碼的Java Applet入侵使用者電腦。

企業防護要點，首重員工網頁瀏覽行為
駭客的攻擊途徑是引誘使用者進入釣魚網頁，並在使用者未允許的情形下執行此網頁上的Java Applet。因此企業防護的重點，首在前端員工的網路瀏覽行為。聖藍科技研發技術長王建興則認為，關閉瀏覽器上的Java Applet插件是根本的解決之道。

此外，Websense臺灣區技術總監莊添發表示，企業應安裝更新管理系統，以能即時替內部各端點電腦自動下載更新，保持最新版本狀態。另外由於駭客攻擊手法是以合法網站作為跳板，過去普遍以URL資料庫為判準來限制網頁瀏覽的EIM（Enterprise Information Management）系統，已無法有效因應這波攻擊。莊添發認為，企業應部署能動態分析網頁內容的安全系統，以作為因應。

此外，莊添發表示，企業要保護重要內部資料，建置資料外洩防護（Data Leakage Prevention，DLP）系統、以及提升對進階持續性滲透攻擊（Advanced Persistent Threats，APT）的防護能力是當務之急。Graham Cluley建議，如果不需要用到Java，就立刻關掉它。文☉楊智傑

Java漏洞連環爆，企業防護重點
1. 管控員工上網行為，避免瀏覽含有Java Applet的惡意網站
2. 關閉員工瀏覽器上的Java Applet插件
3. 安裝更新管理系統，將員工電腦上的Java升至最新版
4. 部署具動態分析網頁內容的安全系統，即時偵測網頁異常動態

--

...連環爆還沒完

順便一下
刑事局：中小型購物網站容易成為駭客入侵目標
http://www.ithome.com.tw/itadm/article.php?c=79194

刑事警察局提醒，國內中小型購物網站常因系統老舊、未作安全更新，或使用盜版軟體而造成資安漏洞，容易成為駭客鎖定竊取個資的目標，導致國內網路購物詐騙事件盛行。

隨著國內網路購物發達，消費者習慣在網路比價購物，為了較便宜的價格而找上中小型購物網站或個人賣家交易。刑事警察局指出，這類中小型購物網站可能因小規模經營，或是個人工作室型態，以簡易套裝軟體、架站，或是免費、盜版軟體經營網購平台，缺乏一定預算或資安防護，容易成為駭客入侵的對象。

刑事警察局根據165詐騙專線民眾報案的資料，找出多家B2C、C2C網站及訂單管理系統商曾出現資安漏洞，調查發現這些網站資料庫大多遭駭客以SQL Injection隱碼攻擊手法入侵，部份網站因作業系統太過老舊，無法更新修補程式。

有些業者則是委託其他公司製作網站，造成套裝網站存在相同的資安漏洞，某些網站設計公司為節省成本再外包給其他公司製作，造成更大的資安風險。刑事警察局表示，多數電子商務業者具備的資安防護概念程度不一，防護不足的網站容易被植入後門或惡意程式，駭客竊取這些購物網站、業者個人電腦內的資料，導致交易資料外洩。

被竊的資料遭詐騙集團利用，假冒為商家客服人員，欺騙消費者操作ATM解除分期付款為手法，實際上透過ATM轉帳方式詐騙錢財，因而造成消費者更大的財務損失，這類詐騙案例在國內層出不窮。

刑事警察局呼籲，業者經營電子商務應建立資安防護機制，儘量不要委外網站設計，應聘請專門的網站設計及IT人員管理，安裝防毒軟體、防火牆，並不定期檢查Log檔紀錄，不開啟來路不明電子郵件或惡意程式。新版個資法已在去年10月施行，電子商務商家被入侵遭竊個資，可能蒙受商譽、金額損失及違法風險。

另外，IDC近日發佈微軟委託的「2013非正版軟體危險調查報告」，網路下載盜版軟體中78%藏有間諜軟體，36%藏有木馬程式，不僅會停止電腦的自動更新功能，還會關閉防火牆，駭客入侵電腦竊取資料，也可能使用戶個人隱私外洩。個人或企業需花費更多成本處理。基於這份調查報告，刑事警察局建議企業及個人透過正常管道取得合法軟體，保護個資、隱私安全。