禁用JavaScript! 美国国土安全部发出严重安全漏洞警告

来源: 背后背个喇叭于 2013-01-12 10:00:25 [档案] [旧帖] [给我悄悄话] 本文已被阅读：次 (2188 bytes)

美国政府在10日晚间发出警告，「Java」(爪哇)软体有严重安全漏洞并存在于大部分个人电脑(PC)里，可能会让这些PC在连线时，曝露在遭恶意攻击的风险里，让PC被骇客所利用。

国内安全部辖下的电脑紧急应变组织US-CERT表示，这漏洞已被人利用来发动恶意攻击，因此提醒PC与苹果Mac等用户，关闭自己电脑里的Java软体，直到Java的问题被解决为止。

国安部建议电脑使用者把其电脑浏览器(browser)中的「Java」软体插件立刻关闭，以避免可能的骇客攻击。这项建议是在电脑安全专家提出疑虑后，国内安全部10日晚以紧急通报的形式发出的。专家相信骇客已找到Java软体程式的一个缺陷，这个缺陷可使电脑的安全门户大开，让犯罪活动和高科技捣蛋行为通行无阻。

关闭浏览器Java软体的步骤很简单，但不同的网路浏览器关闭Java程式的步骤不尽相同。如果使用Mozilla Firefox(火狐)浏览器，使用者可在浏览器「工具」(Tool)选单下，点选「选项」(Option)，待「对话框」(Dialog Box)出现后，点选「内容」，在点选「内容」之后出现的「对话框」中，移除「启用Javaｓｃｒｉｐｔ」，也就是不选用「启用Javaｓｃｒｉｐｔ」。

Mozilla于11日宣称，自即日起，Mozilla浏览器在载入网页时，会自动拦截Java程式，除非使用者启用Java程式。

使用微软IE电脑浏览器的使用者可参考KrebsonSecurity.com网站的说明，关闭Java程式。

使用Google Chrome浏览器的电脑使用者可前往Chrome://plugins确认Java plugin已关闭。

Safari浏览器的使用者可点选「Preference」、「Security」再移除「启用Java」。

Java是一种广泛被使用的电脑语言，可让程式设计师撰写许多网路程式，并适用于各种电脑操作系统。总部在加州的甲骨文公司到11日晚并未对国内安全部的建议加以评论。

US-CERT警告，骇客可利用这个Java漏洞，在系统里执行任意程式码(arbitrary code)来控制一台电脑。

防毒软体商AlienVault Labs研究部经理巴斯柯(Jaime Blasco)形容，这是十分严重的漏洞，因为它会冲击「每一个独立系统和每一位独立用户」。这漏洞的本质让其成为有心人「极易容攻击和瞒过系统」。他说，每当软体出现问题时，甲骨文向来会在一周到一个月的时间内，才发表其解决方案。

这次Java的安全漏洞属于所谓零时差攻击(zero-day exploits)，即在防毒软体商或软体公司发现问题前，骇客已利用它来发动攻击，给电脑用户造成严重伤害。在Java漏洞被公开之前，已有违法者和骇客掌握这漏洞，并出现针对漏洞而来的4种不同的恶意软体配件，卖给有心人来发动恶意攻击。