按Enter到主內容區
:::

法務部矯正署桃園少年輔育院(誠正中學桃園分校):回首頁

:::

Java零時差漏洞攻擊大幅增加,請使用者注意相關安全更新訊息

  • 發布日期:
  • 最後更新日期:108-1-26
  • 資料點閱次數:529

Java零時差漏洞攻擊大幅增加,請使用者注意相關安全更新訊息


國家資通安全會報 技術服務中心 漏洞/資安訊息警訊
發佈編號:ICST-ANA-2012-0008
發佈時間:Fri Sep 07 12:30:06 CST 2012
事件類型:攻擊活動預警
發現時間:Thu Sep 06 00:00:00 CST 2012
警訊名稱:Java零時差漏洞攻擊大幅增加,請使用者注意相關安全更新訊息。


內容說明:
資安專家發現,駭客利用Java零時差漏洞進行攻擊的活動有大幅增加跡象,可能成為目前網路攻擊的主要方式。駭客可透過此漏洞於使用者電腦上安裝任意惡意程式,而且零時差攻擊所使用的Java 7漏洞已經增為2個。
Oracle(甲骨文, Java的母公司)已針對Java SE釋出重大更新(Critical Patch Update, CPU)修補安全漏洞,並強烈建議用戶儘快部署該更新以避免可能的攻擊威脅。
雖然Oracle已在8月底緊急發出安全修補程式,但資安專家隨即表示,Java 7更新仍有新漏洞,使用者仍需注意相關安全更新訊息。


影響平台:任意平台上所有可執行Java的瀏覽器。


影響等級:中


建議措施:
1.建議可將Java解除安裝或禁用。在Oracle釋出Java修補程式之前,即使日常工作中需使用到而無法解除安裝Java的使用者,至少應該在瀏覽器中禁止Java執行。Windows平台的瀏覽器停用Java元件方式如下(可能因瀏覽器版本不同而有所差異):
(1)IE瀏覽器:點選選單列中「工具」→「管理附加元件」→「啟用或停用附件」,找到Java將其停用。
(2)Firefox:點選選單列中「工具」→「附加元件」,開啟附加元件管理員頁面,選擇「擴充套件」,找到Java將其停用。
(3)chrome瀏覽器:網址列輸入「chrome://plugins」按「Enter」,開啟外掛程式管理頁面,找到Java將其停用。
2.更新Oracle Java至最新版本,並注意是否有更新安全修補程式,若有更新程式應盡速更新。
(1)Java程式開發者可於以下網址下載最新更新:http://www.oracle.com/technetwork/java/javase/downloads/index.html
(2)Java使用者可於以下網址下載JRE最新更新:http://java.com
(3)Windows平台的使用者也可利用Java自動化更新(Java Automatic Update)取得最新更新程式


參考資料:
1.Oracle Java SE CVE-2012-1726 Remote Java Runtime Environment Vulnerability (2012-08-31 updated)
http://www.securityfocus.com/bid/53948
2.Security Alert for CVE-2012-4681 Released (2012-08-30)
https://blogs.oracle.com/security/entry/security_alert_for_cve_20121
3.Java零時差漏洞攻擊恐氾濫 Firefox考慮直接封鎖(2012-08-30)
http://www.ithome.com.tw/itadm/article.php?c=75905
4.最新Java漏洞攻擊以微軟通知做誘餌(2012-09-04)
http://www.ithome.com.tw/itadm/article.php?c=75990


回頁首