一名獨立惡意軟件研究員警告稱,網絡罪犯很快就知道如何把6月份就修補好的Java漏洞整合到一款工具中,向用戶發動大規模攻擊。
利用目標的一個關鍵漏洞為CVE-2013-2465,這個漏洞對所有Java 7 Update 25之前的版本都有影響,而且可以允許遠程代碼執行。Oracle在6月的Java重要漏洞更新中已經修復過這一漏洞。
安全研究團隊Packet Storm Security在周一發佈瞭該漏洞,最初,這一漏洞是在漏洞獎勵項目的鼓勵下,作為零日漏洞發現的——當時它是一個未被修復的漏洞——發現該漏洞的研究員沒有公開自己的姓名。Packet Storm在獲得許可的前提下,在發現瞭這個漏洞60天後公佈瞭該漏洞,這樣,其他安全專傢就可以利用這些信息來執行滲透測試和安全風險評估。
在公佈兩天之後,對CVE-2013-2465的開發利用就已經被整合到瞭所謂的開發工具包中,當用戶訪問帶有惡意代碼的網站時,這些攻擊工具會利用過時軟件中沒來得及打上補丁的已知漏洞損害電腦。
一個獨立的惡意軟件研究員,網名為Kafeine,發現一個叫Styx的很活躍的漏洞安裝包,以前叫Kein,這個安裝包就是利用的這個漏洞。
從一名攻擊者的角度來看,利用CVE-2013-2465漏洞好過利用CVE-2013-2460,後者也是一個在6月份被修復的漏洞,且最近也被整合到瞭一個名為Private Exploit Pack的攻擊工具包中,Kafeine周四在其博客中稱。這是因為CVE-2013-2465影響瞭Java 7和Java 6的安裝,而CVE-2013-2060隻影響瞭Java 7。
Oracle在4月份就終止瞭對Java 6的支持,而且不再向用戶推出Java 6的安全更新。盡管如此,Java 6的使用范圍仍然很廣,特別是在企業環境中。
由安全公司 Bit9所做的一項安全調查表明,在使用Java系統的公司中,安裝Java 6的公司超過80%。而在這些系統中,部署最廣泛的版本又是Java 6 Update 20。
最近的Java 6公開版本是Java 6 Update 45,這個版本也會受到CVE-2013-2465的攻擊。這個漏洞是Java 6 Update 51的一個補丁,但是這個版本僅適用於那些需要Oracle給其提供擴展支持合同的用戶。
事實上,CVE-2013-2065漏洞是公開的,而且該漏洞已經整合到用於大規模攻擊的工具包中,這意味著,這些漏洞很快又會被廣泛開發利用。那些還沒升級到Java 7 Update 25的用戶趕緊升級吧。
Orignal From: 網絡罪犯對修復Java漏洞進行再次利用
留言列表
