甲骨文紧急修补Java漏洞 封锁零日

　　Google网络安全工程师Tavis Ormandy上周揭露了Java的零日漏洞，并指出甲骨文(Oracle)认为该漏洞尚未重要到必须提供紧急更新。不过，网络安全厂商AVG本周三(4/14)发现了针对该漏洞的攻击行动，使得甲骨文在周四(4/15)紧急修补相关漏洞。

　　Ormandy所发现的漏洞是存在于2008年4月所发表的Java 6 update 10，该版本新增了Java开发套件(Java Deployment Toolkit，JDT)以简化开发人员散布应用开发的程序，同时也建立了一个可透过网站执行程序的方法。

　　Qualys技术长Wolfgang Kandek说明，该漏洞允许黑客在目标电脑上执行远端程序，而且使用者只要造访一个简单的网页就可能触动攻击。

　　AVG研究长Roger Thompson表示，严格来说这是一个功能，并非臭虫。再加上Ormandy所公布的概念性验证程序很简单，很容易复制，所以五天后他们就侦测到有一俄国服务器含有攻击程序，并以美国的歌词网站当作诱饵，将使用者导向该俄国服务器并进行攻击。

　　甲骨文在上周四释出了Java 6 update 20，修补了3个Java的安全漏洞，其中一个便是上述漏洞。