Java漏洞再度成為資安焦點。日前資安公司陸續發現Java兩個零時差(zero-day)漏洞,被駭客用來做為目標式攻擊(targeted attacks),短短數天內受害案例快速增加,迫使甲骨文(Oracle)原本預計在10月才要發布的定期Java版本更新,破例提前在8/30緊急發布,希望阻止災情繼續擴大。
資安專家警告,該漏洞可能會引發更大規模的攻擊,同時也建議,在漏洞修補前,最好的解決方法就是解除Java安裝。由於受攻擊的案例越來越多,Oracle不得不正視這個問題,先是在網站上發布1.7.0_07-b10基本更新公告,隨後又發布4個安全漏洞已經修補的訊息。
Oracle此次更新的4個漏洞分別為CVE-2012-4681、CVE-2012-1682、CVE-2012-3136以及CVE-20120-0547。前3個漏洞讓駭客在未取得使用者名稱和密碼的情況下,就能透過網路層展開遠端攻擊,Oracle將之列為危險評等CVSS Base Score中的最高等級10.0。第4個漏洞CVE-20120-0547因為並無直接的危險性,因此危險評等列為0.0,但Oracle仍然處理其一個深度防禦(defense-in-depth)問題,以避免該漏洞被擴大運用。
此次的Java零時差漏洞是由FireEye於8/26首度發現。根據其發表的偵測報告指出,駭客使用的主機網域為ok.XXX4.net,IP位址於中國,控制惡意程式的C&C伺服器則位於新加坡,攻擊方式為,駭客先寄送內含惡意連結的電子郵件,將目標受害者導引至惡意網站,該網站內含一隻可以跳脫Java沙箱保護機制的Java程式,自動下載dropper病毒植入程式(Dropper.MsPMs)至電腦中。
lienVault分析師Jaime Blasco表示,被用來攻擊的惡意程式似乎是木馬程式Poison Ivy的變種。Poison Ivy在去(2011)年十月時被發現,當時駭客利用它竊取了至少數十家化學公司的商業機密。
賽門鐵克(Symantec)隨後也發現到該漏洞,並定義為Java.Awetook。Symantec指出,該零時差漏洞在被發現之前,已經被用來進行目標式攻擊且至少5天以上,預估駭客從8/22開始發動攻擊。
資安公司Security Explorations表示,事實上,早在四月就已經向Oracle回報Java 7的19個漏洞,而此次造成重大影響的兩個漏洞也在其中。
由於Java屬於被廣泛使用的應用程式之一,僅次於Adobe Reader和Adobe Flash,再加上它隱含許多漏洞和弱點,在使用率高、漏洞弱點多兩項因素下,促使它成為普遍的駭客工具與攻擊目標,然而,Oracle的安全更新卻習慣每季發佈一次,因此,外界也希望Oracle能藉此提升漏洞修補效率。
目前被發現的攻擊事件都是針對Windows平台上的Java 7版本(即Java最新版本JDK/JRE version 1.7 update 6),Java 6與更早之前的版本則不受影響,不過,資安專家認為,Apple的Mac OS X、Linux也有可能成為攻擊目標,且不管搭配哪個瀏覽器,都有被入侵的風險。
資安專家分析,由於Java今年4月被發現漏洞時,Apple就提供了一個主動解除工具,若使用者在前35天沒有使用Java,Java就會被自動解除安裝,所以許多不常使用Java的Mac OS X使用者,可能早就已解除安裝,相對而言,受影響程度也比較小。Qualys技術長Wolfgang Kandek表示,如果Mac OS X使用者不確定是否已經解決Java,可以使用Java Preferences程式確認其Java狀態。
友善連結 : http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7011
SafeNet 資訊安全保護鎖系列 , 歡迎來電借測 !
正新電腦提供 [ 借測活動 ] 並且提供借測使用上的技術指導。
有意借測者,歡迎來電洽詢詳細借測內容或有關資訊安全相關問題。
更多產品資訊來源 : www.pronew.com.tw
正新電腦 TEL : 04-2473-8309
留言列表
