一名獨(dú)立惡意軟件研究員警告稱���,網(wǎng)絡(luò)罪犯很快就知道如何把6月份就修補(bǔ)好的Java漏洞整合到一款工具中���,向用戶發(fā)動(dòng)大規(guī)模攻擊。
利用目標(biāo)的一個(gè)關(guān)鍵漏洞為CVE-2013-2465��,這個(gè)漏洞對(duì)所有Java 7 Update 25之前的版本都有影響��,而且可以允許遠(yuǎn)程代碼執(zhí)行��。Oracle在6月的Java重要漏洞更新中已經(jīng)修復(fù)過這一漏洞����。
安全研究團(tuán)隊(duì)Packet Storm Security在周一發(fā)布了該漏洞,最初,這一漏洞是在漏洞獎(jiǎng)勵(lì)項(xiàng)目的鼓勵(lì)下�����,作為零日漏洞發(fā)現(xiàn)的——當(dāng)時(shí)它是一個(gè)未被修復(fù)的漏洞——發(fā)現(xiàn)該漏洞的研究員沒有公開自己的姓名��。Packet Storm在獲得許可的前提下�,在發(fā)現(xiàn)了這個(gè)漏洞60天后公布了該漏洞�����,這樣�,其他安全專家就可以利用這些信息來執(zhí)行滲透測(cè)試和安全風(fēng)險(xiǎn)評(píng)估。
在公布兩天之后�,對(duì)CVE-2013-2465的開發(fā)利用就已經(jīng)被整合到了所謂的開發(fā)工具包中,當(dāng)用戶訪問帶有惡意代碼的網(wǎng)站時(shí)�����,這些攻擊工具會(huì)利用過時(shí)軟件中沒來得及打上補(bǔ)丁的已知漏洞損害電腦�����。
一個(gè)獨(dú)立的惡意軟件研究員�,網(wǎng)名為Kafeine,發(fā)現(xiàn)一個(gè)叫Styx的很活躍的漏洞安裝包,以前叫Kein���,這個(gè)安裝包就是利用的這個(gè)漏洞�。
從一名攻擊者的角度來看�,利用CVE-2013-2465漏洞好過利用CVE-2013-2460,后者也是一個(gè)在6月份被修復(fù)的漏洞�,且最近也被整合到了一個(gè)名為Private Exploit Pack的攻擊工具包中,Kafeine周四在其博客中稱�����。這是因?yàn)镃VE-2013-2465影響了Java 7和Java 6的安裝�,而CVE-2013-2060只影響了Java 7。
Oracle在4月份就終止了對(duì)Java 6的支持�����,而且不再向用戶推出Java 6的安全更新��。盡管如此��,Java 6的使用范圍仍然很廣���,特別是在企業(yè)環(huán)境中��。
由安全公司 Bit9所做的一項(xiàng)安全調(diào)查表明���,在使用Java系統(tǒng)的公司中��,安裝Java 6的公司超過80%�����。而在這些系統(tǒng)中,部署最廣泛的版本又是Java 6 Update 20�。
最近的Java 6公開版本是Java 6 Update 45,這個(gè)版本也會(huì)受到CVE-2013-2465的攻擊。這個(gè)漏洞是Java 6 Update 51的一個(gè)補(bǔ)丁�����,但是這個(gè)版本僅適用于那些需要Oracle給其提供擴(kuò)展支持合同的用戶�����。
事實(shí)上�����,CVE-2013-2065漏洞是公開的��,而且該漏洞已經(jīng)整合到用于大規(guī)模攻擊的工具包中,這意味著�,這些漏洞很快又會(huì)被廣泛開發(fā)利用。那些還沒升級(jí)到Java 7 Update 25的用戶趕緊升級(jí)吧�。
