据安全研究人员称,网络犯罪分子利用一种以前未知的、目前尚未修复的Java漏洞,用恶意软件感染电脑。
一个独立的恶意软件研究人员他使用了一个网名Kafeine报告了漏洞的存在周四,他在自己的博客上写道:“在野外”——经常被用于攻击。
攻击者利用这种漏洞,悄悄地在访问受攻击网站的用户的电脑上安装恶意软件,这就是所谓的“免下车下载攻击”。
研究人员只与安全公司分享了该漏洞的样本。“这可能是一场混乱,”他说。“我认为最好是对此发出一些声音。”
“我们可以确认这是一个新的漏洞,”杀毒软件供应商Bitdefender的高级电子威胁分析师Bogdan Botezatu在电子邮件中说。“我们在Java 1.7 Update 9和Update 10上复制了开发机制。其他版本可能也有漏洞,我们目前正在分析其他旧版本是否也有漏洞。”
Botezatu说,据Bitdefender的测试显示,该漏洞是针对Java 7的。
来自安全公司AlienVault的研究人员还证实,该漏洞可以对安装了完整补丁的Java 7起作用。该漏洞使用类似的技巧绕过Java安全限制,就像另一个Java漏洞一样2011年8月被网络犯罪分子使用AlienVault实验室的经理Jaime Blasco周四在一份声明中说博客.
Botezatu表示,该漏洞已经被添加到网络罪犯使用的热门漏洞工具包Blackhole,以及更独家的黑洞衍生工具Cool漏洞工具包中。“其他报道提到,它也在Redkit(一个不同的漏洞工具包)中创建了它,但我们目前无法确认这一信息。”
AlienVault实验室经理Jaime Blasco在电子邮件中说:“我看过Cool EK [exploit kit]和Blackhole EK的样本,但它似乎也被包含在了Nuclear Pack和Redkit中。”Blasco相信,一个漏洞很快也会被添加到流行的开源Metasploit渗透测试工具中,就像大多数零日漏洞(针对未打补丁的漏洞的漏洞)一样。
通过捕获与新的Java漏洞相关的数据包,Bitdefender的研究人员能够将一些攻击追溯到1月7日。不过,Botezatu说,该公司的研究人员认为,攻击可能始于1月2日或3日。
“今天在网上发现的0天攻击代码,是Java安全漏洞的又一个实例,这些漏洞源于Java反射API的不安全实现,”波兰安全公司security Explorations的创始人亚当·高迪亚克(Adam Gowdiak)说。
他说,新的问题是两个弱点的结合。Gowdiak说,其中一个漏洞滥用了新的反射API,以绕过Oracle 10月份针对另一个问题的补丁,该补丁是Security Explorations在8月31日向该公司报告的。
Oracle也知道在新的攻击中使用的攻击矢量,因为它是由安全探索在9月报告的,以及额外的概念证明代码,为8月的问题,他说。
甲骨文尚未确认该漏洞,也未就其修补计划发表评论。下一个关键的Java补丁更新(CPU)定于2月19日进行。甲骨文外部公关机构的一名代表周四通过电子邮件说,甲骨文目前还没有发表评论。
今年8月,当面临类似的情况,即网络罪犯利用未修补的Java漏洞时,Oracle决定打破其每季度发布一次补丁的周期发布紧急更新.
Botezatu表示,"我认为甲骨文不会再次发布带外补丁,除非彻底调查整个破坏程度,并确保补丁的质量。"“8月份发布的最后一个Java外补丁实际上为Java版本上的类似利用技术打开了大门,这些技术在利用之前并不脆弱。我相信这是一个重要的教训,可能会推迟补丁的发布。”
Botezatu说,用户应该尽快在浏览器中禁用Java插件,并在补丁发布之前保持禁用状态。他说,在某些网站的浏览器中需要Java支持的用户应该只允许插件在这些网站上运行。
12月11日发布的Java最新版本Java 7 Update 10 (7u10)允许用户对基于web的Java内容有更好的控制.该版本在Java控制面板中提供了一个选项来禁用浏览器中的所有Java内容。