編按:可遠端控制攻擊受感染機器的Java 7 漏洞,更新後立即又被發現新漏洞!!要如何暫停使用 Java 請看本文

作者：趨勢科技資深分析師Rik Ferguson

這不是Java                                                                                                                      �
  圖片來源：Homini :)的Flickr照片，經由創用CC授權引用。

有種常見的誤解就是以為Java和JavaScript之間有密切的關連，許多人甚至會混著使用這兩個名詞。但事實上，會有相似的名稱只是因為Netscape將一種技術名稱 – LiveScript改成JavaScript，他們從1995開始研發這種技術。這改變在當時被普遍認為是種行銷策略。但從長遠來看，它的確造成許多的混淆。

Java和JavaScript並不相同，當然跟Bob的爪哇搖滾樂（上圖內的World Famous Bob’s Java Jive）更沒關係。最近Java的零時差弱點(本部落格中文相關文章Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX)讓這星期熱鬧滾滾，了解它倆的區別也成為了你網路安全的關鍵。

最新版本Java內的漏洞讓攻擊者可以誘騙你去連上一個惡意或被入侵的網站，在無需跟使用者有任何互動的情況下就可以利用這漏洞來安裝惡意程式到你的電腦上。它已經被用來安裝一個已知的後門程式，讓網路犯罪分子可以遠端控制被感染的電腦。也被加入到一些攻擊工具包內，不管是專業用工具還是犯罪用工具。

事實上，Java是種跨平台的環境，讓它相對起來，更簡單去產生惡意程式碼來攻擊多數主要作業系統。

如果你的系統上有裝Java 1.7的任何版本，那就有受到這種攻擊的危險。這是最新被預設安裝到微軟Windows電腦的版本。如果你用的是MacOS，那由Apple軟體更新所拿到的最新版本Java是1.6.0.33，就沒有這個弱點。但如果你很熱衷於將系統保持在最新狀態，都會想去安裝最新修補程式來防止已知漏洞（通常這是很好的作法），那你可能已經上過java.com，而Oracle也已經提供MacOS最新但是有弱點的版本。

當漏洞已經被廣泛的利用來攻擊，但修補程式還沒釋出前，最好的作法就是直接在瀏覽器裡停用Java。這時知道Java和JavaScript有何不同就很重要了。不然你很可能會關到錯的選項，但危險卻沒解除。

 在Internet Explorer裡停用Java

的Internet Explorer的「工具」選單內選取「管理附加元件」，停用Java™ Plug-in SSV Helper和Java 2™ Plug-in 2 SSV Helper 繼續閱讀