Java 出现零时差漏洞　专家建议暂时禁用

目前多家资讯安全公司发布资讯安全通告表示，目前的Java含有未修补的漏洞，而且黑客已经在攻击中利用该漏洞，因此在甲骨文（Oracle）修补该漏洞之前，用户应该先禁用或解除安装Java。

首先披露此漏洞遭受攻击的资讯安全公司FireEye表示，他们发现ok.XXX4.net网站是此次攻击黑客所使用的主机，其IP位于中国境内。当用户受电子邮件等方式引导连结到该网站时，网页内含的Java程序能够跳脱Java的沙箱保护机制，下载安装恶意程序dropper（Dropper.MsPMs），该恶意程序的主控电脑则为hello.icon.pk，其IP位于新加坡。

专家指出，此漏洞导致的攻击方式与以往有很大的不同。以往的攻击通常会导致浏览器故障，因此用户可能会发现有问题，但该漏洞不会导致浏览器当机，能在用户毫无知觉的情境下安装恶意软体。

目前最新版本的Java（JDK/JRE version 1.7 update 6）均含有此漏洞，而且是Windows、OS X、Linux各平台版本都不例外，各资讯安全公司也发现，不管搭配哪个浏览器，都一样会遭入侵。之前的旧版Java则不确定会受此漏洞影响，不过旧版可能含有其他的问题，因此各资讯安全公司均认为用户不该降级使用旧版。