进入2013年以来,国外的IT公司似乎一直都“不太平”,先是Twitter被曝遭黑客入侵25万用户信息可能被窃,后来《华尔街日报》和《纽约日报》等媒体公司对外披露称也遭到了类似的攻击——都是因为Java漏洞而招致的,本以为这样的攻击仅仅就这些,孰知?
上周五Facebook对外透露称,Facebook的内部系统遭到了恶意攻击,恶意软件利用了Java0-day漏洞,使得浏览器中开启Java的Facebook员工中招。据Facebook CSO(首席安全官)Joe Sullivan称,黑客采用了“watering hole”方式攻击,先是攻击一个流行的开发者论坛网站服务器,并以它作为向网站访问者扩散Java 0-Day漏洞攻击的跳板。由于在网站HTML中注入了代码,这使得访问该网站的Java工程师都会受到影响。
而就在今天,据国外科技媒体Reuters报道:苹果公司员工的Mac电脑也遭到了攻击,而这很可能是之前与攻击Twitter、Facebook同一伙的黑客。因为针对Mac电脑的攻击是相同的软件,都是利用浏览器中开启Java的插件功能将恶意软件植入系统。
苹果公司表示,其他公司的苹果电脑也受到这个恶意软件的攻击,但具体多大规模苹果公司并没有进一步说明。Reuters在报道中援引一位知情人士指出,包括美国国防项目承包商等数以百计的公司都感染了相同的恶意软件。
笔者评论:Java,你还会让多少人继续受伤?
其实任何一门技术任何一款软件或多或少都会有漏洞,区别只是屑于或不屑于去寻找和发现这些漏洞,另外漏洞多、攻击多同时也说明了Java大行王道,使用Java的人特别多,因此发布Java语言的甲骨文公司应该(Java是由Sun Microsystems发布,但已被甲骨文收购)很高兴,反过来想因为使用人数特别多,甲骨文似乎更应该尽心尽力的维护好这个技术。
但耐人寻味的事情在于:被攻击后苹果公司迅速推出了Java更新,修正了安全漏洞,并且为了保护使用Java的Mac用户,苹果也会很快发布Java恶意软件清理的相关工具……与苹果迅速修复漏洞相比,甲骨文的反应似乎更迟钝,甚至更不像当事人一样。
时至今日,Java使用已经非常广泛,很多企业级应用都需要用它,使用率去年已经超过了Adobe Reader,使用范围和使用人数如此广的技术其安全问题似乎更应该受到重视,但实际上不然!
去年是Java安全问题越来越严重的一年,其中曝出的很多都是特别严重的0-day漏洞,但甲骨文实际行动却很迟缓甚至不闻不问,比如说来自波兰的创业公司Security Explorations提交了31个Java安全问题,但实际上甲骨文仅修复了其中2个(CSDN之前相关报道:点此进入)。另外甲骨文的Java也未提供一个像Chrome和Flash Player那样的自动更新机制,也让更新变得麻烦,有的还出现个别补丁无法正确修复Java漏洞,甚至甲骨文修复漏洞还越修越多。
Java出现安全问题不一定都是甲骨文的错,但让Java安全问题愈演愈烈,像一颗定时炸弹一样随时都有可能爆发,甲骨文的责任不可推卸。因此,甲骨文请赶快行动起来吧,不然你的Java会让更多人继续“受伤”,不然终有一天开发者会发出呐喊——Java无用且有害,那就卸载了吧!(注:这里的Java是指Java插件)(文/张勇 责编:魏兵)
转于CSDN
|
|