网络罪犯对最近修复的Java漏洞进行再次利用

ZDNet 发表于:13年08月19日 11:00 [转载] DOIT.com.cn

  • 分享:
[导读]一名独立恶意软件研究员警告称,网络罪犯很快就知道如何把6月份就修补好的Java漏洞整合到一款工具中,向用户发动大规模攻击。

一名独立恶意软件研究员警告称,网络罪犯很快就知道如何把6月份就修补好的Java漏洞整合到一款工具中,向用户发动大规模攻击。

利用目标的一个关键漏洞为CVE-2013-2465,这个漏洞对所有Java 7 Update 25之前的版本都有影响,而且可以允许远程代码执行。Oracle在6月的Java重要漏洞更新中已经修复过这一漏洞。

安全研究团队Packet Storm Security在周一发布了该漏洞,最初,这一漏洞是在漏洞奖励项目的鼓励下,作为零日漏洞发现的——当时它是一个未被修复的漏洞——发现该漏洞的研究员没有公开自己的姓名。Packet Storm在获得许可的前提下,在发现了这个漏洞60天后公布了该漏洞,这样,其他安全专家就可以利用这些信息来执行渗透测试和安全风险评估。

在公布两天之后,对CVE-2013-2465的开发利用就已经被整合到了所谓的开发工具包中,当用户访问带有恶意代码的网站时,这些攻击工具会利用过时软件中没来得及打上补丁的已知漏洞损害电脑。

一个独立的恶意软件研究员,网名为Kafeine,发现一个叫Styx的很活跃的漏洞安装包,以前叫Kein,这个安装包就是利用的这个漏洞。

从一名攻击者的角度来看,利用CVE-2013-2465漏洞好过利用CVE-2013-2460,后者也是一个在6月份被修复的漏洞,且最近也被整合到了一个名为Private Exploit Pack的攻击工具包中,Kafeine周四在其博客中称。这是因为CVE-2013-2465影响了Java 7和Java 6的安装,而CVE-2013-2060只影响了Java 7。

Oracle在4月份就终止了对Java 6的支持,而且不再向用户推出Java 6的安全更新。尽管如此,Java 6的使用范围仍然很广,特别是在企业环境中。

由安全公司 Bit9所做的一项安全调查表明,在使用Java系统的公司中,安装Java 6的公司超过80%。而在这些系统中,部署最广泛的版本又是Java 6 Update 20。

最近的Java 6公开版本是Java 6 Update 45,这个版本也会受到CVE-2013-2465的攻击。这个漏洞是Java 6 Update 51的一个补丁,但是这个版本仅适用于那些需要Oracle给其提供扩展支持合同的用户。

事实上,CVE-2013-2065漏洞是公开的,而且该漏洞已经整合到用于大规模攻击的工具包中,这意味着,这些漏洞很快又会被广泛开发利用。那些还没升级到Java 7 Update 25的用户赶紧升级吧。

[责任编辑:李洪亮]
李洪亮
随着大数据时代的来临,全球对于各行业的数据收集和分析数量每年都在成倍增加。据IDC报告称,截止到2011年底,全球新增的数据量达到了1.8万亿GB,未来十年还将增长50倍。
官方微信
weixin
精彩专题更多
存储风云榜”是由DOIT传媒主办的年度大型活动。回顾2014年,存储作为IT系统架构中最基础的元素,已经成为了推动信息产业发展的核心动力,存储产业的发展迈向成熟,数据经济的概念顺势而为的提出。
华为OceanStor V3系列存储系统是面向企业级应用的新一代统一存储产品。在功能、性能、效率、可靠性和易用性上都达到业界领先水平,很好的满足了大型数据库OLTP/OLAP、文件共享、云计算等各种应用下的数据存储需求。
联想携ThinkServer+System+七大行业解决方案惊艳第十六届高交会
 

公司简介 | 媒体优势 | 广告服务 | 客户寄语 | DOIT历程 | 诚聘英才 | 联系我们 | 会员注册 | 订阅中心

Copyright © 2013 DOIT Media, All rights Reserved. 北京楚科信息技术有限公司 版权所有.