編按:可遠端控制攻擊受感染機器的Java 7 漏洞,更新後立即又被發現新漏洞!!要如何暫停使用 Java 請看本文
作者:趨勢科技資深分析師Rik Ferguson
這不是Java �
圖片來源:Homini :)的Flickr照片,經由創用CC授權引用。
有種常見的誤解就是以為Java和JavaScript之間有密切的關連,許多人甚至會混著使用這兩個名詞。但事實上,會有相似的名稱只是因為Netscape將一種技術名稱 – LiveScript改成JavaScript,他們從1995開始研發這種技術。這改變在當時被普遍認為是種行銷策略。但從長遠來看,它的確造成許多的混淆。
Java和JavaScript並不相同,當然跟Bob的爪哇搖滾樂(上圖內的World Famous Bob’s Java Jive)更沒關係。最近Java的零時差弱點(本部落格中文相關文章Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX)讓這星期熱鬧滾滾,了解它倆的區別也成為了你網路安全的關鍵。
最新版本Java內的漏洞讓攻擊者可以誘騙你去連上一個惡意或被入侵的網站,在無需跟使用者有任何互動的情況下就可以利用這漏洞來安裝惡意程式到你的電腦上。它已經被用來安裝一個已知的後門程式,讓網路犯罪分子可以遠端控制被感染的電腦。也被加入到一些攻擊工具包內,不管是專業用工具還是犯罪用工具。
事實上,Java是種跨平台的環境,讓它相對起來,更簡單去產生惡意程式碼來攻擊多數主要作業系統。
如果你的系統上有裝Java 1.7的任何版本,那就有受到這種攻擊的危險。這是最新被預設安裝到微軟Windows電腦的版本。如果你用的是MacOS,那由Apple軟體更新所拿到的最新版本Java是1.6.0.33,就沒有這個弱點。但如果你很熱衷於將系統保持在最新狀態,都會想去安裝最新修補程式來防止已知漏洞(通常這是很好的作法),那你可能已經上過java.com,而Oracle也已經提供MacOS最新但是有弱點的版本。
當漏洞已經被廣泛的利用來攻擊,但修補程式還沒釋出前,最好的作法就是直接在瀏覽器裡停用Java。這時知道Java和JavaScript有何不同就很重要了。不然你很可能會關到錯的選項,但危險卻沒解除。
在Internet Explorer裡停用Java
的Internet Explorer的「工具」選單內選取「管理附加元件」,停用Java™ Plug-in SSV Helper和Java 2™ Plug-in 2 SSV Helper
在Firefox裡停用Java(MacOS和Windows):
在「工具」選單裡選取「附加元件」,停用Java Deployment Toolkit、Java™ Platform和/或Java Applet Plug-in
在Google Chrome裡停用Java:
按入Chrome瀏覽器窗口右上角的「扳手」圖示,選取「選項」,進入「進階選項」然後選取「隱私權說明」中的「內容設定」。進入「內容設定」面板後,在「外掛程式」區段中選取「停用個別外掛程式」,找到Java並且點擊「停用」連結就可以了!
在MacOS的Safari裡停用Java:
在Safari選單內選取「偏好設定」,按一下「安全性」標籤。取消勾選「啟用Java」
在Windows的Safari裡停用Java:
在瀏覽器右上角點選「齒輪」圖示,然後選取「偏好設定」,選取「安全性」,取消勾選「啟用Java」。
至於JavaScript的安全性則又是另外一個故事了,但它和這次漏洞事件是沒有關連的。
@原文出處:Disable Java not Bob’s Java Jive (or JavaScript)
@延伸閱讀
Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX
《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁上按讚:https://www.facebook.com/trendmicrotaiwan
�
◎ 免費下載防毒軟體:歡迎即刻免費下載試用NSSLABS 最新防毒軟體測試第一名的防毒軟體PC-cillin 2012 即刻【按這裡下載】
@參考推文
雲端系!史上最強防毒軟體現身 看更多<PC-cillin真的不一樣>推文
◎ 歡迎加入趨勢科技社群網站
