迈克菲副总裁Gary Davis：如何规避Java漏洞带来的安全风险

作者：迈克菲全球个人消费市场副总裁Gary Davis

Java这个词对大家来说并不陌生，它是一种编程语言和计算平台，在您家中的任何设备上都有它的身影。它支持游戏、商务应用和聊天室等，运行在全球数十亿部设备上(PC、Mac、iOS、Android 等)。在了解了它的广泛程度与传播力度之后，您就会明白网络犯罪分子为何将 Java 作为首要目标。攻克 Java，犯罪分子就有了侵入由连接互联网的设备构成的全球网络的“敲门砖”。

事实上，在上周，java就遭受了一个新的安全问题。这一安全问题被归类为零日威胁，它会向缺少保护的计算机传播恶意软件。零日威胁是一种利用计算机应用程序(例如Java)中未知的漏洞发起的攻击，这意味着该攻击发生在发现该漏洞的当日(即零日)。迈克菲实验室的研究团队指出，这是一种非常危险的威胁：只要浏览恶意网页或单击垃圾邮件中的链接就足以遭受感染。

针对Java漏洞的安全建议

Java 广泛用于大量设备对攻击者同样具有巨大吸引力，这也是 Windows 设备比其他任何平台易遭受更多病毒攻击的原因——网络犯罪分子针对应用最广泛的平台编写恶意软件可获得最大回报。为了完全保护您的计算机规避这一漏洞及今后的 Java 漏洞带来的侵害，我们建议您对您所有的设备采取以下措施：

1. 了解是否安装 Java：Java 网站提供一种简便方式来帮助您了解是否安装了 Java，而且会显示已安装的 Java 版本。该过程仅用时 10-20 秒，您可通过单击 Java 主页下载按钮下的“Do I have Java?”链接来进行查看。这个新晋漏洞影响的主要版本是 Java 7，但也可能影响 Java 6 及更早版本。

2. 从您的主 Web 浏览器删除 Java ：最新版 Java 包含如何在您的 Web 浏览器中禁用 Java 插件，其中包含针对 Windows XP、Vista 和 Windows 8 的特定指南。由于新 Java 漏洞每年发现多次，我们建议所有用户或者卸载 Java 或者从您的主浏览器中禁用该插件。

3. 必要时使用替代浏览器：如果您偏爱的网站需要 Java，有助于缓解风险的方式是下载专用于该网站的浏览器。例如，如果您经常用火狐(Firefox)，请禁用 Firefox 的 Java 插件，并使用具有了 Java 功能的替代浏览器(Chrome、IE9、Safari、Opera)来访问您喜爱的网站。这一方法并不是十分安全，但却能缓解风险。

4. 下载免费的 McAfee SiteAdvisor软件：McAfee SiteAdvisor是屡获殊荣的浏览器插件，可在您点击风险网站之前给出安全建议。安装SiteAdvisor后，您的浏览器会向搜索结果添加网站评级小图标，就存在潜在风险的网站对您进行警告，帮助您找到更安全的替代网站。此外，您还可以通过下载 McAfee All Access 保护自己的所有设备(包括 PC、Mac 产品、智能手机和平板电脑)免遭类似安全威胁的侵害。

社会工程攻击

实际上，为了修复零日攻击所带来的问题，甲骨文(Oracle)发布了一个旨在修复这一 Java 安全漏洞的软件更新。这一软件的发布，吸引了众多用户进行踊跃下载，殊不知，与此同时大量犯罪分子也在蠢蠢欲动，因为他们能创建看起来和 Java 更新网站一模一样的山寨站点，从而诱使大量用户下载其恶意软件。这便称为社会工程攻击。

而对于家庭用户而言，为了避免社会工程攻击，您需要做到如下几点：

1. 加倍留意网站的 URL。恶意网站可能看起来与合法站点一样，但其 URL 通常使用拼写变体或不同的域(例如， yahoo.com的变体 yahoo.co)。

2. 注意语法和拼写。很多非法站点(包括假冒 Java 更新网站)会有拼错的字和语法错误。

3. 警惕您并未请求却要求您分享个人信息、更改密码或下载软件的来电或电子邮件。如果未知个人声称来自合法公司，请尽量在采取行动前直接通过其公司验证其身份。

4. 安装全面的防病毒软件(如 McAfee All Access)并进行更新，来防范垃圾邮件、恶意流量和恶意站点。