Java - 資安趨勢部落格

甲骨文加強JAVA安全 – 這對一般使用者來說代表什麼

2013 年 07 月 04 日2013 年 07 月 08 日 Trend Labs 趨勢科技全球技術支援與研發中心

甲骨文發表一篇部落格文章敘述（及希望）會提高Java的安全性。從那之後，我問過了幾次：這指的究竟是什麼和這對一般使用者來說代表什麼？

首先，甲骨文談到他們現在如何處理安全修補程式。他們指出最近的修補程式有些什麼，事實上，它們比以前的修補程式解決更多安全漏洞。更重要的是，Java的更新時間表已經和其他Oracle產品線一致：每三個月就會推出一次修補程式，從今年十月開始。這應該有助於讓潛在問題被攻擊者利用前，能夠得到更迅速的解決。當然，甲骨文也會繼續替關鍵漏洞提供時間表外的更新。

Java也已經被納入甲骨文的軟體安全保障政策。一旦被納入，舉例來說，甲骨文現在就會使用自動化安全測試工具，來防止修正錯誤時出現回歸和新的問題。這是個好消息，因為它意味著未來將可以更快速的修補問題。

接下來，他們談論自己是如何地努力在提高Java的安全性，因為它會被用在瀏覽器中。比談論過去做過什麼更重要的是，甲骨文將會盡快推行的是什麼：未來版本的Java將不再允許未經簽章或自行簽章的應用程式執行。目前尚不清楚會何時發生，但如果這麼做，將會讓Java的安全性有顯著的增加。這代表攻擊者將不得不購買或是盜用簽章金鑰，好讓他們的Java程式可以執行：雖然這沒辦法阻止一個真正堅持的攻擊者，但對於不是那麼針對性的攻擊將會減少。此外，Oracle還致力於改善Java如何處理被撤銷的簽章，所以這程序可以在以後被預設打開。

繼續閱讀

假Java零時差漏洞修補程式,真勒索軟體

2013 年 01 月 22 日2013 年 01 月 22 日 Trend Labs 趨勢科技全球技術支援與研發中心

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者：確保從可靠的來源下載，不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞（CVE-2012-3174）的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而，趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11，這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案，其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe（這兩個檔案都被偵測為BKDR_ANDROM.NTW）。一旦執行，這個後門程式會連到遠端伺服器，讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

JAVA_DLOADER.NTW 會下載並執行Up1.exe（BKDR_ANDROM.NTW）和Up2.exe（TSPY_KEYLOG.NTW）。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV的%User Temp%\{random file name}.exe。經過趨勢科技的分析，這個勒索軟體 Ransomware會鎖定使用者螢幕，並且嘗試連上特定網站以顯示警告訊息給使用者。

繼續閱讀

如果一定要使用Java,該怎麼辦?

2013 年 01 月 17 日2013 年 01 月 17 日趨勢科技 TrendMicro

當Java 最近又出現另一次零時差漏洞，要使用者「移除Java」的聲音已經成為一種普遍的意見。請參考:Java更新補救安全漏洞美國安部仍籲「停用」

已經有許多關於甲骨文針對最近CVE-2013-0422的Java零時差漏洞修補程式不完全的討論。在這篇文章中，我們想藉此機會來釐清幾個相關問題。

Java仍有很大的風險

根據趨勢科技的分析，我們已經證實CVE-2013-0422的修補程式並不完整。這CVE包含兩個問題。一個來自com.sun.jmx.mbeanserver.MBeanInstantiator class的FindClass method。另一個來自java.lang.invoke.MethodHandle class的invokeWithArguments() method。甲骨文已經修補了後者，但是findclass method仍然可以被用來獲取被限制class的reference。簡單來說，findclass method的問題仍然留下可供利用的後門，可能被另一個新的漏洞所用。

趨勢科技也想澄清另外一點，這次是針對CVE-2012-3174。和某些報導的觀點不同，這並不是Reflection APT的問題。Reflection API的問題已經在CVE-2013-0422裡被修補了。引用美國國家漏洞資料庫（NVD）的話「註：有些團體將CVE-2012-3174和遞迴使用Reflection API的問題關連在一起，但是這問題已經被CVE-2013-0422所包含。」

在這起事件裡，每個人心裡最大的問題是「使用者安裝這修補程式之後安全嗎？」或是「這修補程式可以防護最近利用CVE-2013-0422的攻擊嗎？」是的，直到有人找到新臭蟲跟第一個問題結合為止。Findclass method仍然是個懸而未決的問題，但它本身不能做為漏洞攻擊。不過訊息很清楚：Java仍然是很大的風險。

不過，想辦法去將Java的風險降到最低還是該做的事情。最理想的狀況是你可以移除Java以完全避免風險。但如果因為某些原因而不可行，那這些技巧可以幫你盡可能地減少風險。

在一般情況下，這是個明智的建議。如果可以的話，使用者應該移除Java，如果並不會用到。不幸的是，對於很多使用者來說，這並不是個選項。很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

所以，要如何安全的使用Java？首先，Java威脅主要來自惡意網站的惡意Java程式。如果你是因為應用程式需要而安裝Java，那你可以在瀏覽器禁用Java而不會受到影響。

過去你如果需要這樣做的話，需要一個一個瀏覽器分別設定，但現在不同了。目前的Java版本可以透過Java控制面板來做到這一點。可以在這裡找到如何進行的說明。網頁上的Java程式將無法執行，但Java應用程式可以繼續使用，沒有問題。

基於這個問題，使用者必須考慮自己是否真的需要Java。如果不的話，就應該將其移除。對於無法避免使用Java的使用者而言，還有其他的方法來降低風險：

如果一定要使用Java的該怎麼辦?

很多企業都在Java平台上構建客製化應用程式。消費者可能還需要Java去連上銀行網站（許多都用Java）或執行軟體（Minecraft需要用到Java ）。

如果你因為應用程式需要而安裝Java，就在瀏覽器內選擇停用

如果公司內部網站或銀行網站需要Java,請個別停用瀏覽器內的Java,選擇一個「次要」瀏覽器來上使用Java的網站，然後在主要瀏覽器中停用它

在這種情況下，你需要在瀏覽器內停用Java。選擇「次要」瀏覽器專門用來瀏覽使用Java的網站，然後在主要瀏覽器中停用它。例如，如果你是Chrome使用者，你可以用Firefox或Internet Explorer來瀏覽Java網站。趨勢科技資深安全顧問Rik Ferguson已經發表過一篇文章提供針對瀏覽器來停用Java的詳細步驟:

在Internet Explorer裡停用Java:的Internet Explorer的「工具」選單內選取「管理附加元件」，停用Java™ Plug-in SSV Helper和Java 2™ Plug-in 2 SSV Helper

在Firefox裡停用Java（MacOS和Windows）：在「工具」選單裡選取「附加元件」，停用Java Deployment Toolkit、Java™ Platform和/或Java Applet Plug-in

在Google Chrome裡停用Java：按入Chrome瀏覽器窗口右上角的「扳手」圖示，選取「選項」，進入「進階選項」然後選取「隱私權說明」中的「內容設定」。進入「內容設定」面板後，在「外掛程式」區段中選取「停用個別外掛程式」，找到Java並且點擊「停用」連結就可以了！

在MacOS的Safari裡停用Java：在Safari選單內選取「偏好設定」，按一下「安全性」標籤。取消勾選「啟用Java」
在Windows的Safari裡停用Java：在瀏覽器右上角點選「齒輪」圖示，然後選取「偏好設定」，選取「安全性」，取消勾選「啟用Java」。

基本上Internet Explorer和Firefox都可以輕易的在選單內停用外掛程式。Chrome則比較隱密，最快的做法是在地址列上輸入chrome://plugins。一旦你進入設定頁面，停用Java外掛程式來禁止瀏覽器執行任何Java程式。

此外，Chrome使用者的另一種選擇是控制要不要執行Java程式。Chrome會在執行Java程式前出現提示，讓你選擇只執行這一次或在這網站上永久可以執行。使用者應該要選擇只執行一次，如果他們知道這個網站真的需要Java。繼續閱讀

重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動

2013 年 01 月 16 日2013 年 01 月 17 日趨勢科技 TrendMicro

日前（2013 年1 月10 日），針對Java系統弱點的零時差攻擊（Zero-Day Exploit）爆發。這起攻擊事件背後是由類似黑洞漏洞攻擊組織（Black Hole Exploit Kit, BHEK）所發起，並藉此散播惡意勒索軟體 Ransomware—Reveton。（關於勒贖軟體相關介紹，請參考線上小學堂。）

甲骨文官方已於2013 年1 月13 日發佈緊急更新Java 7 update 11。針對此次的零時差攻擊，趨勢科技產品Deep Security與Intrusion Defense Firewall（IDF）漏洞規則編號1005177 Restrict Java Bytecode File (Jar/Class) Download早就可為用戶提供完善的防護；更在2013年1 月11 日釋出更新檔DSRU13-002 加強防範針對Java弱點所有可能的攻擊。Deep Security也可透過以下的DPI規則防範網路攻擊：

規則編號	規則名稱	防範弱點編號
1004711	Identified Malicious Java JAR Files	CVE-2013-0422
1005331	Ruby On Rails XML Processor YAML Deserialization DoS	CVE-2013-0156
1005328	Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability	CVE-2013-0156

此外，趨勢科技PC-cillin 2013雲端版、WFBS、OfficeScan 等產品病毒碼更新至版本9.649.00 以上，也能取得完整的安全防護，並可偵測以下相關惡意程式/網站：

惡意程式/網頁偵測名稱	偵測描述
JAVA_EXPLOIT.RG	惡意程式碼
HTML_EXPLOIT.RG	藏有惡意程式碼的網站
TROJ_REVETON.RG	惡意程式
TROJ_REVETON.RJ	惡意程式

此次更新也特別包含以下防護功能：

防範針對Java弱點的攻擊；
防範藏有惡意程式碼的網站；
防範下載惡意程式（勒贖軟體）。

另外，Deep Discovery透過其規則編號616 TCP_REVETON_REQUEST也可偵測 TROJ_REVETON的網路流量。

針對Java弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受攻擊的可能性語因應措施；
企業可選擇弱點屏蔽（Vulnerability shielding）或虛擬補丁（Virtual patch）等防護措施作為解決方案，如Trend Micro Deep Security 及Trend Micro Intrusion Defense Firewall。

針對RDP弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
一般預料此項弱點將成為網路蠕蟲攻擊目標，更甚者攻擊行為可能已開始進化，在弱點主機間蔓延（如同網路蠕蟲）；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受大規模網路蠕蟲攻擊的可能性；
企業可選擇弱點遮蔽(vulnerability shielding)或虛擬補丁等防護措施作為解決方案，如趨勢科技Deep Security和Trend Micro Intrusion Defense Firewall。

@延伸閱讀

如果必要的話，該如何使用Java?
後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器《Java 零時差漏洞攻擊》

關閉Java而非JavaScript(含停用 Java 指南)

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚