美國土安全部警告：Java爆重大安全漏洞！任何PC恐遭攻擊 應立即停用

美國國土安全部轄下電腦資安單位 CERT 周四 (10 日) 發布警告，指使用率相當高的甲骨文 (Oracle)(ORCL-US) 軟體 Java 爆發嚴重安全漏洞問題，恐令全球數億台安裝該軟體的個人電腦 (PC) 遭到駭客惡意攻擊，建議使用者應該立即解除安裝停用。

美國土安全部電腦緊急迅速反應小組 (CERT) 在官方網站上警告，Java 7 升級10 (Java 7 Update 10) 及之前的版本包含一個不明的安全漏洞，可讓駭客侵入 PC自遠端執行任意指令。

他們並警告，這個漏洞正暴露在肆無忌憚的攻擊威脅中，因數款攻擊軟體套件 (exploit kits) 的開發人員，已加入利用新發現的 Java 安全漏洞來進行攻擊的軟體。

Java 是一種電腦語言，讓程式設計師只需用一組編碼，就能寫出幾乎能在任何種類電腦上運作的軟體程式。這也讓網站開發人員能以此技術，架設出不同作業系統使用者都能透過網路瀏覽器打開看到的網站，無論是微軟 (Microsoft)(MSFT-US) Windows 或蘋果 (Apple)(AAPL-US) 麥金塔 (Mac) 電腦的用戶。電腦使用者則能透過安裝的 Java 軟體，在 IE (Internet Explorer) 或 Firefox 等瀏覽器之上見到這些外掛程式。

CERT 表示，駭客能利用這個新發現的 Java 安全漏洞，說服電腦使用者打開一特製的 HTML 檔案，進而開啟漏洞、讓駭客自遠端進入電腦系統執行任意指令。由於他們目前還不知道如何解決這個漏洞的實際辦法，因此建議電腦使用者將網路瀏覽器的 Java 解除安裝。

這個安全漏洞首先由獨立資安研究人員 Kafeine 發現，並通報當局及在個人部落格發佈消息。早已知悉此漏洞的資安企業 AlienVault Labs 研究經理 Jaime Blasco 甚至直言：「Java 一團糟。它並不安全。」，表示這個漏洞的特性讓它很容易被駭客利用來欺騙系統，警告「任何一個使用者及任何一種系統」都可能中彈受害。

Java 是由甲骨文併購昇陽 (Sun Microsystems) 時所取得的軟體資產。Blasco 補充，由於甲骨文針對這類安全漏洞，通常得花一周至 1 個月才會發布補救軟體，因此電腦用戶務必盡快先解除安裝 Java。

企業資安顧問公司 Rapid7 資安主任 HD Moore 對《路透社》表示，無論採用 Windows、Mac OS X 或 Linux 作業系統的 PC，都可能因這個 Java 安全漏洞受到攻擊。「這宛如 (駭客) 對消費者的公然獵季」。

CERT警告聲明網址：http://www.kb.cert.org/vuls/id/625617