美國土安全部警告：Java爆重大安全漏洞！任何PC恐遭攻擊 應立即停用

pgup

作者： 鉅亨網編譯張正芊 綜合外電 | 鉅亨網 – 2013年1月11日 下午4:25

美國國土安全部轄下電腦資安單位 CERT 周四 (10 日) 發布警告，指使用率相當高的甲骨文 (Oracle)(ORCL-US) 軟體 Java 爆發嚴重安全漏洞問題，恐令全球數億台安裝該軟體的個人電腦 (PC) 遭到駭客惡意攻擊，建議使用者應該立即解除安裝停用。

美國土安全部電腦緊急迅速反應小組 (CERT) 在官方網站上警告，Java 7 升級10 (Java 7 Update 10) 及之前的版本包含一個不明的安全漏洞，可讓駭客侵入 PC自遠端執行任意指令。

他們並警告，這個漏洞正暴露在肆無忌憚的攻擊威脅中，因數款攻擊軟體套件 (exploit kits) 的開發人員，已加入利用新發現的 Java 安全漏洞來進行攻擊的軟體。

Java 是一種電腦語言，讓程式設計師只需用一組編碼，就能寫出幾乎能在任何種類電腦上運作的軟體程式。這也讓網站開發人員能以此技術，架設出不同作業系統使用者都能透過網路瀏覽器打開看到的網站，無論是微軟 (Microsoft)(MSFT-US) Windows 或蘋果 (Apple)(AAPL-US) 麥金塔 (Mac) 電腦的用戶。電腦使用者則能透過安裝的 Java 軟體，在 IE (Internet Explorer) 或 Firefox 等瀏覽器之上見到這些外掛程式。

CERT 表示，駭客能利用這個新發現的 Java 安全漏洞，說服電腦使用者打開一特製的 HTML 檔案，進而開啟漏洞、讓駭客自遠端進入電腦系統執行任意指令。由於他們目前還不知道如何解決這個漏洞的實際辦法，因此建議電腦使用者將網路瀏覽器的 Java 解除安裝。

這個安全漏洞首先由獨立資安研究人員 Kafeine 發現，並通報當局及在個人部落格發佈消息。早已知悉此漏洞的資安企業 AlienVault Labs 研究經理 Jaime Blasco 甚至直言：「Java 一團糟。它並不安全。」，表示這個漏洞的特性讓它很容易被駭客利用來欺騙系統，警告「任何一個使用者及任何一種系統」都可能中彈受害。

Java 是由甲骨文併購昇陽 (Sun Microsystems) 時所取得的軟體資產。Blasco 補充，由於甲骨文針對這類安全漏洞，通常得花一周至 1 個月才會發布補救軟體，因此電腦用戶務必盡快先解除安裝 Java。

企業資安顧問公司 Rapid7 資安主任 HD Moore 對《路透社》表示，無論採用 Windows、Mac OS X 或 Linux 作業系統的 PC，都可能因這個 Java 安全漏洞受到攻擊。「這宛如 (駭客) 對消費者的公然獵季」。

CERT警告聲明網址：http://www.kb.cert.org/vuls/id/625617

pgup

【中央社╱台北12日電】
2013.01.12 11:43 am

美國國土安全部警告，Java軟體有風險，民眾應停止使用。資策會資安所組長陳世仁建議，一般使用者或企業可採用三大措施防範，最重要還是建立安全基準的資安機制。

美國國土安全部(US Department of HomelandSecurity)日前警告，商用軟體大廠甲骨文公司(Oracle)的Java軟體非常危險，民眾應停止使用。

美國電腦安全緊急應變小組(CERT)在官網上的通知說：「這個漏洞正受到公開攻擊，且據報漏洞已經被收入攻擊工具中。」

「我們目前還沒發現可行的解決方案。」建議的做法是解除安裝Java。

資訊工業策進會資安科技研究所組長陳世仁表示，Java是普遍應用在互動式網頁的程式語言，不過因近日Java 7 Update10及更早期版本，出現重大資安漏洞，被評分為風險最高的資安弱點，引起美國國土安全部提出警告。

陳世仁建議，一般使用者和企業單位在使用網路瀏覽器時，可以採取以下三種保護措施防範，降低Java漏洞帶來的潛在風險。

首先，使用者可評估該網頁使用Java的必要性，並將預設的啟用改為提示。方法很簡單，開啟網路瀏覽器後，可以點選工具列的「網際網路選項」，修改安全性設定功能。

使用者點選工具列的「網際網路選項」後，進入其中的「安全性」選項，進一步選取安全性「自訂等級」選項；在「自訂等級」設定欄位中，選擇「指令碼處理」，把其中的「以指令碼執行Java Applet」內的「啟用」功能，改成「提示」功能。再者，公部門或民間企業單位應在內部推廣使用者終端電腦安全基準，加強資安防範觀念。

這次美國國土安全部大張旗鼓建議民眾解除安裝Java，以預防漏洞風險，陳世仁指出，一般當資安漏洞被發現到被修補之間的空檔，最容易為駭客利用，預先設定嚴格標準，從源頭開始防範，可有效降低風險，來達到事先安全控制的效果；這也顯示美國政府積極推動資安防範概念、推動安全基準的決心。

另外，陳世仁表示，除定期更新電腦系統與防毒軟體等良好資安認知建立外，知名入口網站如Google，也會幫使用者判斷瀏覽網頁安全，當使用者欲瀏覽的網頁有惡意程式及內容威脅時主動警告提示，使用者也可藉此多加注意防範。



全文網址: Java風險 三大保護不可少 | 國際 | 即時新聞 | 聯合新聞網

鄧國良

http://paper.wenweipo.com  

常見網絡瀏覽器的停用方法：

－IE 7.0或以上：選擇「工具」→「管理附加元件」→選擇Java並改為「停用」

－IE舊版本：選擇「工具」→「網際網絡選項」→「程式集」→「管理附加元件」→選擇Java並改為「停用」

－Firefox：「工具」→「附加元件」→選擇Java並改為「停用」

－Chrome：在網址欄輸入「chrome://plugins」→從清單中找出Java並按「停用」

－Safari：選擇Safari→「偏好設定」→「安全性」→取消勾選「啟用Java」

*用戶若需重新啟用Java，可按相同步驟將「停用」改為「啟用」。

解除安裝：

－視窗XP：「開始」→「設定」→「控制台」→「新增或移除程式」→選取Java後按「移除」

－視窗Vista及7：「開始」→「控制台」→「程式」→「程式和功能」→選取Java後按「解除安裝」

鄧國良

(綜合報道)(星島日報報道)甲骨文公司（Oracle）周日為旗下Java軟件提供緊急復修程式，但有保安專家指仍有數個保安漏洞未有修補，未能保護個人電腦和阻止黑客入侵進行網上罪行。
　　甲骨文公司於其保安網誌指出，更新修補可復修瀏覽器內Java 7的兩個漏洞，以及把保安設定值升至「高級」，使個人電腦用戶可較易發現在電腦內運作的可疑程式。
　　不過，去年發現Java有多個漏洞的波蘭軟件保安研究公司Security Explorations研究員高迪亞克（Adam Gowdiak）指出，甲骨文的更新未有修補幾個重大保安漏洞，「我們不敢向用戶提出重新啟用Java是安全的」。
　　網絡保安公司Rapid7首席保安主任HD Moore也稱，甲骨文可能需要兩年才能復修所有保安漏洞，「現時最安全做法是假設Java仍然是很脆弱，其實大部分人的桌面電腦根本不需要Java」。甲骨文發言人拒就報道評論。
　　美國國土安全部上周四警告，黑客有能力利用瀏覽器專用Java的漏洞入侵個人電腦，盜竊用戶身分以及使被入侵的電腦攻擊其他網站，呼籲停用Java。

pgup

【中央社╱紐約31日綜合外電報導】
2013.02.01 12:35 pm

蘋果公司（Apple）Mac電腦使用者今天對電腦突然停止執行Java程式語言大感意外，原因是蘋果考慮到Java有安全問題而封鎖。

美聯社報導，程式人員用Java寫出的網路程式或其他軟體程式可用於多數電腦，其中包括蘋果Mac電腦。

但本月稍早，美國國土安全部建議停止使用，擁有Java程式語言的公司甲骨文（Oracle Corp）已經發布更新，防堵已知漏洞，但國土安全部仍認為Java編碼還有其他瑕疵。

蘋果寄出虛擬「黑名單」到連線上網的Mac電腦，指示它們不要執行某些程式。蘋果正在最新的Mac作業系統上封鎖最新版Java程式，舊版Mac系統雪豹（SnowLeopard）也封鎖前代程式Java 6。網頁瀏覽器上使用Java語言的程式和線上遊戲將受影響。

甲骨文目前尚未對此置評。

美聯社照片部門倚賴Java程式管理和發布照片，也因這突如其來的封鎖消息受影響。

美聯社發言人寇佛（Paul Colford）說：「這情況讓我們措手不及，多部機器有一段時間無法運作，但還好當下我們有足夠能力化解問題。」「我們預期今天結束前受影響的機器就能恢復運作。」



全文網址: 安全起見 蘋果再封殺Java | 財經 | 即時新聞 | 聯合新聞網