一个强大的新利用已被确定在野外可以把电脑运行过时版本的Java为垃圾邮件机器人或DDoS攻击,甚至掠夺他们的敏感信息。
据布莱恩克雷布斯在他克雷布斯安全博客上,利用目标Oracle披露和修补漏洞cve - 2012 - 0570公告在二月十四日。脆弱性本质上中和Java沙箱的功能,它是为了抵御这样的恶意攻击,克雷布斯解释道。
利用样本的微软警告大约在3月20日的博客,已经被打包成流行的黑洞利用包。黑洞,一个软件工具包,销售网络犯罪社区,通常是连接到恶意网站感染为目的的路人通过web浏览器。Qualys作用,首席技术官说,黑洞使它容易甚至那些有限的技术知识或技能发动大规模的恶意软件攻击。
相关:据报道,微软的MAPP砍,RDP利用早于预期
考虑Java安装在全世界有超过30亿的系统中,克雷布斯认为这是不足为奇的利用已经包装,便于广泛分布。
“那些与过时的浏览器插件访问这些网站可能安装了恶意软件默默地,和Java几乎是普遍妥协的最成功的方法在所有开发工具包,”克雷布斯写道。
柠檬酸的最佳建议是完全消除Java,测量他也传过去。声称“很多人安装了这个强大的程序根本不需要它,或者只需要非常具体的用途,”克雷布斯说Java只带来了弊大于利。
对于那些不愿意与Java方法,一部分作用说更新到最新版本应该修补漏洞。更进一步,一个有效的方法对那些不能更新,是一个Windows配置设置,限制Java少数可信网站上的功能,作用在自己的博客中写道(看看他的博客有关如何配置你的Windows系统的更多信息)。
作为一个长期的解决方案,有作用还指出,Internet Explorer和Google Chrome浏览器功能,白名单网站,需要运行Java,措施,可以防止意外访问恶意网站变成一个成熟的渗透。