网络犯罪分子们很快就融入新发布的漏洞补丁用于在六月到用于针对用户推出大规模攻击工具一个Java漏洞,恶意软件的独立研究人员警告说。
该漏洞的目标确定为CVE-2013至2465年,影响比Java 7更新25之前的所有版本的Java,可以实现远程执行代码的漏洞。该漏洞由Oracle修补在六月份的重要补丁更新为Java。
该漏洞是周一公布的由安全研究小组数据包风暴保安,最初收购了它通过它的错误赏金程序作为一个零日漏洞 - 一个利用了未打补丁的漏洞 - 从一个研究者的名字没有透露。数据包风暴出版它获得60天收到后他们,从他们的作者的许可,因此其他安全专业人员可以使用它们来进行渗透测试和安全风险评估的攻击。
其发布后两天,CVE-2413至65年漏洞已经被集成到所谓的漏洞利用工具包,攻击工具,通过在当用户访问受害网站过时的软件利用漏洞感染恶意软件的计算机。
谁使用在线别名一个独立的恶意软件研究人员发现Kafeine冥河的现场安装利用工具包,以前称为KEIN,正在使用该漏洞。
从攻击者的角度来看,为利用CVE-2013至2465年是比更好地利用为CVE-2013年至2460年,另一个Java漏洞补丁也是在六月,这是最近集成到一个不同的攻击工具包,叫做私人漏洞利用,Kafeine周四表示在一个博客文章。这是因为CVE-2013至2465年会同时影响的Java 7和Java 6的安装,而CVE-2413至60年只影响Java 7中,他说。
截至甲骨文对Java 6的公众支持在四月,将不再发布安全更新,它给所有用户。尽管如此,Java 6中仍然被广泛使用,特别是在企业环境中。
安全公司故障Bit9最近的一项研究显示,超过80%的支持Java的企业计算机对他们的Java 6的安装。在这些系统上部署最广泛的Java版本是Java 6的更新20。
Java 6中的最新一个公开版本是Java 6的更新45,这也是受CVE-2413至65年。该漏洞被修补的Java 6中更新51,不过这个版本只提供给谁与甲骨文扩展支持合同的用户。
该漏洞利用了CVE-2013至2465年,这一事实是公开的,并已经集成在大规模攻击工具包表明,这个漏洞很快就会看到广泛的利用。谁尚未升级到Java 7更新25的用户可能不想这么尽快做。