Java自今年以來問題不斷,繼甲骨文(Oracle)於一月份緊急修補新的零時差(zero-day)漏洞、在二月份的例行Java SE重大更新(Critical Patch Updates)中修補了50個安全漏洞後,在上周,甲骨文又釋出本年度的第三波安全更新,修補了兩個新的Java零時差漏洞,不過就在更新釋出後,隨即又被發現五個新的漏洞。
甲骨文於3/4發布最新的Java 7 Update 17和Java 6 Update 43,以修補CVE-2013-1493和CVE-2013-0809兩個嚴重漏洞。甲骨文表示,這兩個漏洞可以讓攻擊者未經授權入侵系統,即不需要輸入用戶名稱和密碼,就可成功攻擊遠端系統。事實上,甲骨文於2/19推出Java 6 Update 41,原本是最後的Java 6版本,然而漏洞安全問題甚鉅,讓甲骨文不得不再度更新,但甲骨文表示,Java 6 Update 43將會是Java 6的最後一個版本,另外也建議用戶盡快升級到Java 7。
其中,CVE-2013-1493已經被駭客積極運用在目標攻擊上。安全廠商FireEye指出,CVE-2013-1493漏洞從2/28之前就開始被攻擊者所利用,攻擊者透過該漏洞以安裝一個名為McRAT的遠端攻擊惡意軟體。根據賽門鐵克(Symantec)報告,資安公司Bit9和其客戶已經成為該漏洞的受害者。
此外,FireEye表示,甲骨文從二月時就知道這兩個漏洞的存在。對此,甲骨文軟體安全總監Eric Maurice表示,甲骨文於2/1首度收到這兩個漏洞的通報,不過已經來不及納入2/19的Java SE重大更新中,原本計畫在4/16的Java SE重大更新發布時再修補,但因為已經出現攻擊行動,所以決定釋出緊急更新。
就在兩個新的修補釋出後,波蘭安全公司Security Explorations又發現Java 7有五個新的漏洞。Security Explorations創辦人暨執行長Adam Gowdiak表示,一旦同時運用這五個漏洞,就可成功繞過Java的沙箱保護機制,而剛發布的Java update 17版本,依然存在這些漏洞。其中兩個新的漏洞,很可能會影響Java 6,但由於五個漏洞必須同時運作,所以基本上對Java 6不構成威脅。
接二連三的Java漏洞,也導致許多企業因此受害,包括Twitter、Facebook、蘋果(Apple)等企業都成了Java漏洞的受害者。此外,Java接連不斷的漏洞問題,已經讓用戶對於究竟哪些Java版本含有哪些漏洞,造成混亂。因此,資安專家再度建議用戶最好移除瀏覽器上的外掛Java程式,或者另外安裝沒有Java的瀏覽器,當要登入熟悉、值得信任的網站時,才使用含有Java程式的瀏覽器,以盡可能的降低安全風險。