研究人员称新的Java漏洞已成为大规模攻击的目标

来源:eNet硅谷动力  
2013/4/26 13:29:02
据国外媒体报道,一个标识为CVE-2013-2423的漏洞已经成为网络犯罪分子攻击的目标,而它正是甲骨文4月16日公布的Java 7 _update21 修复的42个问题之一。

本文关键字: Java 漏洞 攻击

 

  据国外媒体报道,一个标识为CVE-2013-2423的漏洞已经成为网络犯罪分子攻击的目标,而它正是甲骨文4月16日公布的Java 7 _update21 修复的42个问题之一。

  但甲骨文声称该漏洞仅影响客户端,而不是服务器。对于该漏洞造成的影响,甲骨文根据常见漏洞评分系统(CVSS)给出一个4.3的分数(满分为10分),并且甲骨文还补充说:“只有不受信任的Java Web Start程序和不受信任的Java applet才可能利用该漏洞。”

  一个网名为Kafeine的独立恶意软件研究员周二在博客文章中说到,似乎较低的CVSS评分并不能阻止针对该漏洞的网络罪犯。漏洞CVE-2013-2423被集成到一个称为Cool Exploit Kit的高端Web攻击工具包,用于安装一个称为Reveton恶意软件。

  Reveton是一类叫做勒索软件的恶意程序,用于向受害者勒索钱财。特别是,Reveton锁定受感染计算机上的操作系统要求受害者支付一个虚构的罚款,非法下载和存储文件。

  芬兰反病毒厂商F-Secure公司的安全研究人员证实了CVE-2013-2423被广为利用。其中新一轮攻击从4月21日开始,直至周二仍然活跃。

  F-Secure的研究人员透露,在该漏洞被添加到Metasploit(一个常用的开源渗透测试工具)一天后,针对该漏洞大规模攻击便开始。这不是网络犯罪分子第一次利用Metasploit攻击模块适应他们的恶意攻击工具包。

  需要使用Java的用户(尤其是浏览器)应当尽快升级他们手中Java安装程序——Java 7 _update21 。这个版本还改变了网站加载Web Java程序时的安全提示,以便更好地区分不同类型的应用程序运行的风险。

  用户应当只允许他们信任的网站加载运行Java applet。像谷歌Chrome和Mozilla Firefox这样的浏览器也有一个特点,被称为点击播放,可以用来阻止插件的内容在未经同意的情况下执行。

 

责编:李红燕
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918