这个位于Java Web Start中的漏洞是上周被人披露,会影响执行在Windows中的Firefox与IE 浏览器,AVG研究Roger Thompson表示,虽然外界有传出Chrome也会受影响,但他测试后发现无效。
Thompson发现,Java与另一个Adobe Reader的漏洞已经被某个攻击程序用来瞄准音乐歌词网站Songlyrics.com的网友,不过该站后来已经清除干净。
其运作原理是,网友造访该站后,某个网页广告中的恶意iFrame会自动把电脑导引至放有攻击程序的服务器,用户完全不需点选任何广告。
其中一个攻击程序会启动Adobe Reader使用条款视窗,另一个则去抓取位在另一台服务器上的恶意Java文件。若用户的Reader还没有修补,电脑就会中标。
他说,目前只是瞄准一个歌词网站,但未来应该会越来越多,因此Sun应该赶快发出补丁程序。
Java Web Start 加入Java 6版中的原始用意是希望让开发者有管道可在网友的电脑上执行程序,但现在反而成了攻击者的助力。
FireEye安全架构师Marc Maiffret表示,这次的漏洞特别危险,因为这是逻辑或设计上的漏洞,而非一般常见的buffer overflow(缓冲溢位),这表示攻击程序会比较稳定,且可在不同浏览器上生效。
首先公开这个漏洞的工程师Tavis Ormandy表示,他之前有通知了Sun,但Sun却表示这个问题没那么重要,因此不会赶着推出补丁程序。Sun现在已经被甲骨文并购,而甲骨文是采每季一次推出安全更新,本周该公司才刚推出最新更新,因此最快下一次得等到七月才有更新。
Maiffret表示,只要有使用Java的用户,这都是一个很大的漏洞,等三个才补实在太夸张了,这个漏洞很危险,你不能还在搞按部就班。
甲骨文不愿针对此事表示意见。Thompson建议Windows用户先安装LinkScanner来保护自己电脑,或者依照Ormandy提供的方法来规避。
本文来源:cnet 作者:佚名