一名獨(dú)立惡意軟件研究員警告稱，網(wǎng)絡(luò)罪犯很快就知道如何把6月份就修補(bǔ)好的Java漏洞整合到一款工具中，向用戶發(fā)動大規(guī)模攻擊。

利用目標(biāo)的一個關(guān)鍵漏洞為CVE-2013-2465，這個漏洞對所有Java 7 Update 25之前的版本都有影響，而且可以允許遠(yuǎn)程代碼執(zhí)行。Oracle在6月的Java重要漏洞更新中已經(jīng)修復(fù)過這一漏洞。

安全研究團(tuán)隊(duì)Packet Storm Security在周一發(fā)布了該漏洞，最初，這一漏洞是在漏洞獎勵項(xiàng)目的鼓勵下，作為零日漏洞發(fā)現(xiàn)的——當(dāng)時它是一個未被修復(fù)的漏洞——發(fā)現(xiàn)該漏洞的研究員沒有公開自己的姓名。Packet Storm在獲得許可的前提下，在發(fā)現(xiàn)了這個漏洞60天后公布了該漏洞，這樣，其他安全專家就可以利用這些信息來執(zhí)行滲透測試和安全風(fēng)險(xiǎn)評估。

在公布兩天之后，對CVE-2013-2465的開發(fā)利用就已經(jīng)被整合到了所謂的開發(fā)工具包中，當(dāng)用戶訪問帶有惡意代碼的網(wǎng)站時，這些攻擊工具會利用過時軟件中沒來得及打上補(bǔ)丁的已知漏洞損害電腦。

一個獨(dú)立的惡意軟件研究員，網(wǎng)名為Kafeine，發(fā)現(xiàn)一個叫Styx的很活躍的漏洞安裝包，以前叫Kein，這個安裝包就是利用的這個漏洞。

從一名攻擊者的角度來看，利用CVE-2013-2465漏洞好過利用CVE-2013-2460，后者也是一個在6月份被修復(fù)的漏洞，且最近也被整合到了一個名為Private Exploit Pack的攻擊工具包中，Kafeine周四在其博客中稱。這是因?yàn)镃VE-2013-2465影響了Java 7和Java 6的安裝，而CVE-2013-2060只影響了Java 7。

Oracle在4月份就終止了對Java 6的支持，而且不再向用戶推出Java 6的安全更新。盡管如此，Java 6的使用范圍仍然很廣，特別是在企業(yè)環(huán)境中。

由安全公司 Bit9所做的一項(xiàng)安全調(diào)查表明，在使用Java系統(tǒng)的公司中，安裝Java 6的公司超過80%。而在這些系統(tǒng)中，部署最廣泛的版本又是Java 6 Update 20。

最近的Java 6公開版本是Java 6 Update 45,這個版本也會受到CVE-2013-2465的攻擊。這個漏洞是Java 6 Update 51的一個補(bǔ)丁，但是這個版本僅適用于那些需要Oracle給其提供擴(kuò)展支持合同的用戶。

事實(shí)上，CVE-2013-2065漏洞是公開的，而且該漏洞已經(jīng)整合到用于大規(guī)模攻擊的工具包中，這意味著，這些漏洞很快又會被廣泛開發(fā)利用。那些還沒升級到Java 7 Update 25的用戶趕緊升級吧。