迈克菲:如何规避Java漏洞带来的安全风险

 

作者: 迈克菲全球个人消费市场副总裁Gary Davis

Java这个词对大家来说并不陌生,它是一种编程语言和计算平台,在您家中的任何设备上都有它的身影。它支持游戏、商务应用和聊天室等,运行在全球数十亿部设备上(PC、Mac、iOS、Android 等)。在了解了它的广泛程度与传播力度之后,您就会明白网络犯罪分子为何将 Java 作为首要目标。攻克 Java,犯罪分子就有了侵入由连接互联网的设备构成的全球网络的“敲门砖”。

事实上,在上周,java就遭受了一个新的安全问题。这一安全问题被归类为零日威胁,它会向缺少保护的计算机传播恶意软件。零日威胁是一种利用计算机应用程序(例如Java)中未知的漏洞发起的攻击,这意味着该攻击发生在发现该漏洞的当日(即零日)。迈克菲实验室的研究团队指出,这是一种非常危险的威胁:只要浏览恶意网页或单击垃圾邮件中的链接就足以遭受感染。

针对Java漏洞的安全建议

Java 广泛用于大量设备对攻击者同样具有巨大吸引力,这也是 Windows 设备比其他任何平台易遭受更多病毒攻击的原因——网络犯罪分子针对应用最广泛的平台编写恶意软件可获得最大回报。为了完全保护您的计算机规避这一漏洞及今后的 Java 漏洞带来的侵害,我们建议您对您所有的设备采取以下措施:

1. 了解是否安装 Java:Java 网站提供一种简便方式来帮助您了解是否安装了 Java,而且会显示已安装的 Java 版本。该过程仅用时 10-20 秒,您可通过单击 Java 主页下载按钮下的“Do I have Java?”链接来进行查看。这个新晋漏洞影响的主要版本是 Java 7,但也可能影响 Java 6 及更早版本。

2. 从您的主 Web 浏览器删除 Java :最新版 Java 包含如何在您的 Web 浏览器中禁用 Java 插件,其中包含针对 Windows XP、Vista 和 Windows 8 的特定指南。由于新 Java 漏洞每年发现多次,我们建议所有用户或者卸载 Java 或者从您的主浏览器中禁用该插件。

3. 必要时使用替代浏览器:如果您偏爱的网站需要 Java,有助于缓解风险的方式是下载专用于该网站的浏览器。例如,如果您经常用 火狐(Firefox),请禁用 Firefox 的 Java 插件,并使用具有了 Java 功能的替代浏览器(Chrome、IE9、Safari、Opera)来访问您喜爱的网站。这一方法并不是十分安全,但却能缓解风险。

4. 下载免费的 McAfee SiteAdvisor 软件:McAfee SiteAdvisor 是屡获殊荣的浏览器插件,可在您点击风险网站之前给出安全建议。安装 SiteAdvisor 后,您的浏览器会向搜索结果添加网站评级小图标,就存在潜在风险的网站对您进行警告,帮助您找到更安全的替代网站。此外,您还可以通过下载 McAfee All Access 保护自己的所有设备(包括 PC、Mac 产品、智能手机和平板电脑)免遭类似安全威胁的侵害。

社会工程攻击

实际上,为了修复零日攻击所带来的问题,甲骨文(Oracle)发布了一个旨在修复这一 Java 安全漏洞的软件更新。这一软件的发布,吸引了众多用户进行踊跃下载,殊不知,与此同时大量犯罪分子也在蠢蠢欲动,因为他们能创建看起来和 Java 更新网站一模一样的山寨站点,从而诱使大量用户下载其恶意软件。这便称为社会工程攻击。

而对于家庭用户而言,为了避免社会工程攻击,您需要做到如下几点:

1. 加倍留意网站的 URL。恶意网站可能看起来与合法站点一样,但其 URL 通常使用拼写变体或不同的域(例如, yahoo.com 的变体 yahoo.co)。

2. 注意语法和拼写。很多非法站点(包括假冒 Java 更新网站)会有拼错的字和语法错误。

3. 警惕您并未请求却要求您分享个人信息、更改密码或下载软件的来电或电子邮件。如果未知个人声称来自合法公司,请尽量在采取行动前直接通过其公司验证其身份。

4. 安装全面的防病毒软件(如 McAfee All Access)并进行更新,来防范垃圾邮件、恶意流量和恶意站点。