Java基础知识：新的Java漏洞已成为大规模攻击的目标

安全研究人员警告说，最近修补的Java远程执行代码漏洞已经被网络犯罪分子利用，通过恐吓软件进行大规模的攻击。

　　据国外媒体报道，一个标识为CVE-2013-2423的漏洞已经成为网络犯罪分子攻击的目标，而它正是甲骨文4月16日公布的Java 7 Update 21 修复的42个问题之一。

　　但甲骨文声称该漏洞仅影响客户端，而不是服务器。对于该漏洞造成的影响，甲骨文根据常见漏洞评分系统(CVSS)给出一个4.3的分数(满分为10分)，并且甲骨文还补充说：“只有不受信任的Java Web Start程序和不受信任的Java applet才可能利用该漏洞。”

　　一个网名为Kafeine的独立恶意软件研究员周二在博客文章中说到，似乎较低的CVSS评分并不能阻止针对该漏洞的网络罪犯。漏洞CVE-2013-2423被集成到一个称为Cool Exploit Kit的高端Web攻击工具包，用于安装一个称为Reveton恶意软件。

　　Reveton是一类叫做勒索软件的恶意程序，用于向受害者勒索钱财。特别是，Reveton锁定受感染计算机上的操作系统要求受害者支付一个虚构的罚款，非法下载和存储文件。

　　芬兰反病毒厂商F-Secure公司的安全研究人员证实了CVE-2013-2423被广为利用。其中新一轮攻击从4月21日开始，直至周二仍然活跃。

　　F-Secure的研究人员透露，在该漏洞被添加到Metasploit(一个常用的开源渗透测试工具)一天后，针对该漏洞大规模攻击便开始。这不是网络犯罪分子第一次利用Metasploit攻击模块适应他们的恶意攻击工具包。

　　需要使用Java的用户(尤其是浏览器)应当尽快升级他们手中Java安装程序——Java 7 Update 21 。这个版本还改变了网站加载Web Java程序时的安全提示，以便更好地区分不同类型的应用程序运行的风险。

　　用户应当只允许他们信任的网站加载运行Java applet。像谷歌Chrome和MozillaFirefox这样的浏览器也有一个特点，被称为点击播放，可以用来阻止插件的内容在未经同意的情况下执行。