一名獨(dú)立惡意軟件研究員警告稱(chēng)，網(wǎng)絡(luò)罪犯很快就知道如何把6月份就修補(bǔ)好的Java漏洞整合到一款工具中，向用戶(hù)發(fā)動(dòng)大規(guī)模攻擊。

利用目標(biāo)的一個(gè)關(guān)鍵漏洞為CVE-2013-2465，這個(gè)漏洞對(duì)所有Java 7 Update 25之前的版本都有影響，而且可以允許遠(yuǎn)程代碼執(zhí)行。Oracle在6月的Java重要漏洞更新中已經(jīng)修復(fù)過(guò)這一漏洞。

安全研究團(tuán)隊(duì)Packet Storm Security在周一發(fā)布了該漏洞，最初，這一漏洞是在漏洞獎(jiǎng)勵(lì)項(xiàng)目的鼓勵(lì)下，作為零日漏洞發(fā)現(xiàn)的——當(dāng)時(shí)它是一個(gè)未被修復(fù)的漏洞——發(fā)現(xiàn)該漏洞的研究 員沒(méi)有公開(kāi)自己的姓名。Packet Storm在獲得許可的前提下，在發(fā)現(xiàn)了這個(gè)漏洞60天后公布了該漏洞，這樣，其他安全專(zhuān)家就可以利用這些信息來(lái)執(zhí)行滲透測(cè)試和安全風(fēng)險(xiǎn)評(píng)估。

在公布兩天之后，對(duì)CVE-2013-2465的開(kāi)發(fā)利用就已經(jīng)被整合到了所謂的開(kāi)發(fā)工具包中，當(dāng)用戶(hù)訪問(wèn)帶有惡意代碼的網(wǎng)站時(shí)，這些攻擊工具會(huì)利用過(guò)時(shí)軟件中沒(méi)來(lái)得及打上補(bǔ)丁的已知漏洞損害電腦。

一個(gè)獨(dú)立的惡意軟件研究員，網(wǎng)名為Kafeine，發(fā)現(xiàn)一個(gè)叫Styx的很活躍的漏洞安裝包，以前叫Kein，這個(gè)安裝包就是利用的這個(gè)漏洞。

從一名攻擊者的角度來(lái)看，利用CVE-2013-2465漏洞好過(guò)利用CVE-2013-2460，后者也是一個(gè)在6月份被修復(fù)的漏洞，且最近也被 整合到了一個(gè)名為Private Exploit Pack的攻擊工具包中，Kafeine周四在其博客中稱(chēng)。這是因?yàn)镃VE-2013-2465影響了Java 7和Java 6的安裝，而CVE-2013-2060只影響了Java 7。

Oracle在4月份就終止了對(duì)Java 6的支持，而且不再向用戶(hù)推出Java 6的安全更新。盡管如此，Java 6的使用范圍仍然很廣，特別是在企業(yè)環(huán)境中。

由安全公司 Bit9所做的一項(xiàng)安全調(diào)查表明，在使用Java系統(tǒng)的公司中，安裝Java 6的公司超過(guò)80%。而在這些系統(tǒng)中，部署最廣泛的版本又是Java 6 Update 20。

最近的Java 6公開(kāi)版本是Java 6 Update 45,這個(gè)版本也會(huì)受到CVE-2013-2465的攻擊。這個(gè)漏洞是Java 6 Update 51的一個(gè)補(bǔ)丁，但是這個(gè)版本僅適用于那些需要Oracle給其提供擴(kuò)展支持合同的用戶(hù)。

事實(shí)上，CVE-2013-2065漏洞是公開(kāi)的，而且該漏洞已經(jīng)整合到用于大規(guī)模攻擊的工具包中，這意味著，這些漏洞很快又會(huì)被廣泛開(kāi)發(fā)利用。那些還沒(méi)升級(jí)到Java 7 Update 25的用戶(hù)趕緊升級(jí)吧。

原文鏈接：http://security.zdnet.com.cn/security_zone/2013/0819/2172811.shtml