觀點

Java零時差漏洞衝擊加劇 Oracle發布緊急更新

2012 / 09 / 03
編輯部
Java零時差漏洞衝擊加劇  Oracle發布緊急更新

Java漏洞再度成為資安焦點。日前資安公司陸續發現Java兩個零時差(zero-day)漏洞,被駭客用來做為目標式攻擊(targeted attacks),短短數天內受害案例快速增加,迫使甲骨文(Oracle)原本預計在10月才要發布的定期Java版本更新,破例提前在8/30緊急發布,希望阻止災情繼續擴大。

 

資安專家警告,該漏洞可能會引發更大規模的攻擊,同時也建議,在漏洞修補前,最好的解決方法就是解除Java安裝。由於受攻擊的案例越來越多,Oracle不得不正視這個問題,先是在網站上發布1.7.0_07-b10基本更新公告,隨後又發布4個安全漏洞已經修補的訊息。

 

Oracle此次更新的4個漏洞分別為CVE-2012-4681CVE-2012-1682CVE-2012-3136以及CVE-20120-0547。前3個漏洞讓駭客在未取得使用者名稱和密碼的情況下,就能透過網路層展開遠端攻擊,Oracle將之列為危險評等CVSS Base Score中的最高等級10.04個漏洞CVE-20120-0547因為並無直接的危險性,因此危險評等列為0.0,但Oracle仍然處理其一個深度防禦(defense-in-depth)問題,以避免該漏洞被擴大運用。

 

此次的Java零時差漏洞是由FireEye8/26首度發現。根據其發表的偵測報告指出,駭客使用的主機網域為ok.XXX4.netIP位址於中國,控制惡意程式的C&C伺服器則位於新加坡,攻擊方式為,駭客先寄送內含惡意連結的電子郵件,將目標受害者導引至惡意網站,該網站內含一隻可以跳脫Java沙箱保護機制的Java程式,自動下載dropper病毒植入程式(Dropper.MsPMs)至電腦中。

 

AlienVault分析師Jaime Blasco表示,被用來攻擊的惡意程式似乎是木馬程式Poison Ivy的變種。Poison Ivy在去(2011)年十月時被發現,當時駭客利用它竊取了至少數十家化學公司的商業機密。

 

賽門鐵克(Symantec)隨後也發現到該漏洞,並定義為Java.AwetookSymantec指出,該零時差漏洞在被發現之前,已經被用來進行目標式攻擊且至少5天以上,預估駭客從8/22開始發動攻擊。

 

資安公司Security Explorations表示,事實上,早在四月就已經向Oracle回報Java 719個漏洞,而此次造成重大影響的兩個漏洞也在其中。

 

由於Java屬於被廣泛使用的應用程式之一,僅次於Adobe ReaderAdobe Flash,再加上它隱含許多漏洞和弱點,在使用率高、漏洞弱點多兩項因素下,促使它成為普遍的駭客工具與攻擊目標,然而,Oracle的安全更新卻習慣每季發佈一次,因此,外界也希望Oracle能藉此提升漏洞修補效率。

 

目前被發現的攻擊事件都是針對Windows平台上的Java 7版本(即Java最新版本JDK/JRE version 1.7 update 6),Java 6與更早之前的版本則不受影響,不過,資安專家認為,AppleMac OS XLinux也有可能成為攻擊目標,且不管搭配哪個瀏覽器,都有被入侵的風險。

 

資安專家分析,由於Java今年4月被發現漏洞時,Apple就提供了一個主動解除工具,若使用者在前35天沒有使用JavaJava就會被自動解除安裝,所以許多不常使用JavaMac OS X使用者,可能早就已解除安裝,相對而言,受影響程度也比較小。Qualys技術長Wolfgang Kandek表示,如果Mac OS X使用者不確定是否已經解決Java,可以使用Java Preferences程式確認其Java狀態。