網絡犯罪分子把新的Java漏洞定為攻擊目標

　　安全研究人員警告說，最近修補的Java遠程執行代碼漏洞已經被網絡犯罪分子利用，通過恐嚇軟件進行大規模的攻擊。

　　據國外媒體報道，一個標識為CVE-2013-2423的漏洞已經成為網絡犯罪分子攻擊的目標，而它正是甲骨文4月16日公布的Java 7 Update 21 修復的42個問題之一。

　　但甲骨文聲稱該漏洞僅影響客戶端，而不是服務器。對於該漏洞造成的影響，甲骨文根據常見漏洞評分系統(CVSS)給出一個4.3的分數(滿分為10分)，並且甲骨文還補充說：“只有不受信任的Java Web Start程序和不受信任的Java applet才可能利用該漏洞。”

　　一個網名為Kafeine的獨立惡意軟件研究員周二在博客文章中說到，似乎較低的CVSS評分並不能阻止針對該漏洞的網絡罪犯。漏洞CVE- 2013-2423被集成到一個稱為Cool Exploit Kit的高端Web攻擊工具包，用於安裝一個稱為Reveton惡意軟件。

　　Reveton是一類叫做勒索軟件的惡意程序，用於向受害者勒索錢財。特別是，Reveton鎖定受感染計算機上的操作系統要求受害者支付一個虛構的罰款，非法下載和存儲文件。

　　芬蘭反病毒廠商F-Secure公司的安全研究人員證實了CVE-2013-2423被廣為利用。其中新一輪攻擊從4月21日開始，直至周二仍然活躍。

　　F-Secure的研究人員透露，在該漏洞被添加到Metasploit(一個常用的開源滲透測試工具)一天後，針對該漏洞大規模攻擊便開始。這不是網絡犯罪分子第一次利用Metasploit攻擊模塊適應他們的惡意攻擊工具包。

　　需要使用Java的用戶(尤其是浏覽器)應當盡快升級他們手中Java安裝程序——Java 7 Update 21 。這個版本還改變了網站加載Web Java程序時的安全提示，以便更好地區分不同類型的應用程序運行的風險。

　　用戶應當只允許他們信任的網站加載運行Java applet。像谷歌Chrome和Mozilla Firefox這樣的浏覽器也有一個特點，被稱為點擊播放，可以用來阻止插件的內容在未經同意的情況下執行。