Java漏洞已开始作怪 安全更新得等到七月？

CNET科技资讯网4月16日国际报道 研究人员警告，一个还没修补的Java漏洞已经开始被用来攻击某个音乐歌词网站的造访者，未来应该还有更多类似的会出现。

这个位于Java Web Start中的漏洞是上周被人披露，会影响执行在Windows中的Firefox与IE 浏览器，AVG研究Roger Thompson表示，虽然外界有传出Chrome也会受影响，但他测试后发现无效。

Thompson发现，Java与另一个Adobe Reader的漏洞已经被某个攻击程序用来瞄准音乐歌词网站Songlyrics.com的网友，不过该站后来已经清除干净。

其运作原理是，网友造访该站后，某个网页广告中的恶意iFrame会自动把电脑导引至放有攻击程序的服务器，用户完全不需点选任何广告。

其中一个攻击程序会启动Adobe Reader使用条款视窗，另一个则去抓取位在另一台服务器上的恶意Java文件。若用户的Reader还没有修补，电脑就会中标。

他说，目前只是瞄准一个歌词网站，但未来应该会越来越多，因此Sun应该赶快发出补丁程序。

Java Web Start 加入Java 6版中的原始用意是希望让开发者有管道可在网友的电脑上执行程序，但现在反而成了攻击者的助力。

FireEye安全架构师Marc Maiffret表示，这次的漏洞特别危险，因为这是逻辑或设计上的漏洞，而非一般常见的buffer overflow（缓冲溢位），这表示攻击程序会比较稳定，且可在不同浏览器上生效。

首先公开这个漏洞的工程师Tavis Ormandy表示，他之前有通知了Sun，但Sun却表示这个问题没那么重要，因此不会赶着推出补丁程序。Sun现在已经被甲骨文并购，而甲骨文是采每季一次推出安全更新，本周该公司才刚推出最新更新，因此最快下一次得等到七月才有更新。

Maiffret表示，只要有使用Java的用户，这都是一个很大的漏洞，等三个才补实在太夸张了，这个漏洞很危险，你不能还在搞按部就班。

甲骨文不愿针对此事表示意见。Thompson建议Windows用户先安装LinkScanner来保护自己电脑，或者依照Ormandy提供的方法来规避。