Java漏洞引大量攻击 用户升级也难幸免

多个恶意软件利用了上周Java 7 Update 21所修补的39个远程执行码漏洞，并将其集成在RedKit或CrimeBoss攻击工具包之中。即使用户将Java更新至Java 7 Update 21，还是有新的漏洞存在。

F-Secure发布一份安全通报告显示，恶意软件利用甲骨文上周刚刚修补的漏洞展开大量攻击。在用户将更新Java至最新版本Java 7 Update 21后情况有所改善，但还是有安全专家在Java 7 Update 21中找到新的漏洞。

独立恶意软件研究人员Kafeine也发现一个勒索软件Reveton利用此次更新的漏洞进行攻击，该恶意软件会锁住计算机操作系统，然后以用户使用非法软件或非法下载为借口，要求缴交罚金。

F-Secure表示，多个恶意软件使用上周Java 7 Update 21所修补的39个远程执行码漏洞之一，并将其集成到RedKit或CrimeBoss攻击工具包之中，上周日(4月21日)这些攻击程序被启动并感染非特定的使用者。新的攻击程序代码架构与一个用于预防渗透或入侵的Metasploit framework类似，大部分的攻击事件都在该模块加入新修补漏洞一天后出现。

私人企业销售类似或更强大的入侵工具给政府机构用于检测，其价格大约为数十万美元，Metasploit这个开放源码项目在正面用途可以检验出漏洞并提升网站安全，但也导致恶意软件模仿其能力进行攻击。

F-Secure并没有说明该恶意软件所在的服务器或如何展开攻击，但根据甲骨文的漏洞说明，利用该漏洞之后远程执行程序不需要验证就可以执行。

另一家安全厂商Security Explorations表示，虽然还未看到攻击事件，但他们在最新版本的Java 7 Update 21中找到新的漏洞，该漏洞位于Java的Reflection API，可以让程序跳过Java的沙盒保护机制。

该公司总经理Adam Gowdiak向媒体表示，Reflection API经常导致Java 7出现漏洞，如果使用不当很容易引发安全问题。他还指责甲骨文一直让大众以为这些远程执行漏洞仅会影响到终端使用者，但该公司曾经证明这些漏洞同样可以对 Java服务器进行攻击。