一名獨(dú)立惡意軟件研究員警告稱����,網(wǎng)絡(luò)罪犯很快就知道如何把6月份就修補(bǔ)好的Java漏洞整合到一款工具中,向用戶發(fā)動大規(guī)模攻擊����。
利用目標(biāo)的一個關(guān)鍵漏洞為CVE-2013-2465�,這個漏洞對所有Java 7 Update 25之前的版本都有影響��,而且可以允許遠(yuǎn)程代碼執(zhí)行����。Oracle在6月的Java重要漏洞更新中已經(jīng)修復(fù)過這一漏洞。
安全研究團(tuán)隊(duì)Packet Storm Security在周一發(fā)布了該漏洞�����,最初����,這一漏洞是在漏洞獎勵項(xiàng)目的鼓勵下�,作為零日漏洞發(fā)現(xiàn)的——當(dāng)時(shí)它是一個未被修復(fù)的漏洞——發(fā)現(xiàn)該漏洞的研究員沒有公開自己的姓名。Packet Storm在獲得許可的前提下���,在發(fā)現(xiàn)了這個漏洞60天后公布了該漏洞�����,這樣���,其他安全專家就可以利用這些信息來執(zhí)行滲透測試和安全風(fēng)險(xiǎn)評估�。
在公布兩天之后�����,對CVE-2013-2465的開發(fā)利用就已經(jīng)被整合到了所謂的開發(fā)工具包中�����,當(dāng)用戶訪問帶有惡意代碼的網(wǎng)站時(shí)�����,這些攻擊工具會利用過時(shí)軟件中沒來得及打上補(bǔ)丁的已知漏洞損害電腦����。
一個獨(dú)立的惡意軟件研究員,網(wǎng)名為Kafeine��,發(fā)現(xiàn)一個叫Styx的很活躍的漏洞安裝包����,以前叫Kein,這個安裝包就是利用的這個漏洞����。
從一名攻擊者的角度來看��,利用CVE-2013-2465漏洞好過利用CVE-2013-2460�,后者也是一個在6月份被修復(fù)的漏洞����,且最近也被整合到了一個名為Private Exploit Pack的攻擊工具包中,Kafeine周四在其博客中稱�����。這是因?yàn)镃VE-2013-2465影響了Java 7和Java 6的安裝���,而CVE-2013-2060只影響了Java 7。
Oracle在4月份就終止了對Java 6的支持��,而且不再向用戶推出Java 6的安全更新�。盡管如此,Java 6的使用范圍仍然很廣���,特別是在企業(yè)環(huán)境中���。
由安全公司 Bit9所做的一項(xiàng)安全調(diào)查表明,在使用Java系統(tǒng)的公司中�����,安裝Java 6的公司超過80%。而在這些系統(tǒng)中����,部署最廣泛的版本又是Java 6 Update 20。
最近的Java 6公開版本是Java 6 Update 45,這個版本也會受到CVE-2013-2465的攻擊�。這個漏洞是Java 6 Update 51的一個補(bǔ)丁,但是這個版本僅適用于那些需要Oracle給其提供擴(kuò)展支持合同的用戶����。
事實(shí)上,CVE-2013-2065漏洞是公開的��,而且該漏洞已經(jīng)整合到用于大規(guī)模攻擊的工具包中�����,這意味著��,這些漏洞很快又會被廣泛開發(fā)利用����。那些還沒升級到Java 7 Update 25的用戶趕緊升級吧。
