禁用JavaScript! 美國國土安全部發出嚴重安全漏洞警告

來源: 背後背個喇叭 2013-01-12 10:00:25 [] [舊帖] [給我悄悄話] 閱讀數 : (2188 bytes)

美國政府在10日晚間發出警告,「Java」(爪哇)軟體有嚴重安全漏洞並存在於大部分個人電腦(PC)裏,可能會讓這些PC在連線時,曝露在遭惡意攻擊的風險裏,讓PC被駭客所利用。

國內安全部轄下的電腦緊急應變組織US-CERT表示,這漏洞已被人利用來發動惡意攻擊,因此提醒PC與蘋果Mac等用戶,關閉自己電腦裏的Java軟體,直到Java的問題被解決為止。

國安部建議電腦使用者把其電腦瀏覽器(browser)中的「Java」軟體插件立刻關閉,以避免可能的駭客攻擊。這項建議是在電腦安全專家提出疑慮後,國內安全部10日晚以緊急通報的形式發出的。專家相信駭客已找到Java軟體程式的一個缺陷,這個缺陷可使電腦的安全門戶大開,讓犯罪活動和高科技搗蛋行為通行無阻。

關閉瀏覽器Java軟體的步驟很簡單,但不同的網路瀏覽器關閉Java程式的步驟不盡相同。如果使用Mozilla Firefox(火狐)瀏覽器,使用者可在瀏覽器「工具」(Tool)選單下,點選「選項」(Option),待「對話框」(Dialog Box)出現後,點選「內容」,在點選「內容」之後出現的「對話框」中,移除「啟用Javascript」,也就是不選用「啟用Javascript」。

Mozilla於11日宣稱,自即日起,Mozilla瀏覽器在載入網頁時,會自動攔截Java程式,除非使用者啟用Java程式。

使用微軟IE電腦瀏覽器的使用者可參考KrebsonSecurity.com網站的說明,關閉Java程式。

使用Google Chrome瀏覽器的電腦使用者可前往Chrome://plugins確認Java plugin已關閉。

Safari瀏覽器的使用者可點選「Preference」、「Security」再移除「啟用Java」。

Java是一種廣泛被使用的電腦語言,可讓程式設計師撰寫許多網路程式,並適用於各種電腦操作係統。總部在加州的甲骨文公司到11日晚並未對國內安全部的建議加以評論。

US-CERT警告,駭客可利用這個Java漏洞,在係統裏執行任意程式碼(arbitrary code)來控製一台電腦。

防毒軟體商AlienVault Labs研究部經理巴斯柯(Jaime Blasco)形容,這是十分嚴重的漏洞,因為它會衝擊「每一個獨立係統和每一位獨立用戶」。這漏洞的本質讓其成為有心人「極易容攻擊和瞞過係統」。他說,每當軟體出現問題時,甲骨文向來會在一周到一個月的時間內,才發表其解決方案。

這次Java的安全漏洞屬於所謂零時差攻擊(zero-day exploits),即在防毒軟體商或軟體公司發現問題前,駭客已利用它來發動攻擊,給電腦用戶造成嚴重傷害。在Java漏洞被公開之前,已有違法者和駭客掌握這漏洞,並出現針對漏洞而來的4種不同的惡意軟體配件,賣給有心人來發動惡意攻擊。


所有跟帖: 

Java or Javascript? Those two are different. -沙漠荒野- 給 沙漠荒野 發送悄悄話 沙漠荒野 的博客首頁 (0 bytes) () 01/12/2013 postreply 11:03:14

是這樣,大部分攻擊是由Javascrip利用java的漏洞展開的。 -背後背個喇叭- 給 背後背個喇叭 發送悄悄話 (193 bytes) () 01/12/2013 postreply 13:08:02

問題是國土防衛局的警告裏隻字沒提javascript, 是你自己把停用java改成了javascript -用戶名被占用了- 給 用戶名被占用了 發送悄悄話 用戶名被占用了 的博客首頁 (0 bytes) () 01/12/2013 postreply 13:20:15

javascript是原來中文版新聞裏的,原因是java根本沒法根本停用。否則很多軟件都不能用了。 -背後背個喇叭- 給 背後背個喇叭 發送悄悄話 (0 bytes) () 01/12/2013 postreply 14:46:08

也許我沒講明白,去google查一下us warns on java software就比較清楚了。 -背後背個喇叭- 給 背後背個喇叭 發送悄悄話 (0 bytes) () 01/12/2013 postreply 14:52:15

我用Google找到很多,這是條路透社的新聞稿,引用國土局的警告,哪裏有javascript? -用戶名被占用了- 給 用戶名被占用了 發送悄悄話 用戶名被占用了 的博客首頁 (116 bytes) () 01/12/2013 postreply 16:06:56

新版mac裏甚至不裝jre,要用的得自己去下載。我的win7也沒java,一樣運行 -用戶名被占用了- 給 用戶名被占用了 發送悄悄話 用戶名被占用了 的博客首頁 (0 bytes) () 01/12/2013 postreply 16:10:11

從現實角度講,如果怕SCRIPT引用JAVA,還不如直接刪了JAVA,否則就的刪掉所有script -用戶名被占用了- 給 用戶名被占用了 發送悄悄話 用戶名被占用了 的博客首頁 (0 bytes) () 01/12/2013 postreply 16:21:11

道高一尺,魔高一丈。隻有這樣才會有技術進步。 -GuoLuke2- 給 GuoLuke2 發送悄悄話 GuoLuke2 的博客首頁 (0 bytes) () 01/12/2013 postreply 12:43:35

Browser就像你家敞開大門的大院,Java Plug-in... -slow_quick- 給 slow_quick 發送悄悄話 slow_quick 的博客首頁 (102 bytes) () 01/12/2013 postreply 21:31:08

it is impossible to stop using javaScript, all interaction, auto -chat092- 給 chat092 發送悄悄話 chat092 的博客首頁 (638 bytes) () 01/15/2013 postreply 07:08:23

請您先登陸,再發跟帖!