安全研究人員警告說，最近修補的Java遠程執行代碼漏洞已經被網絡犯罪分子利用，通過恐嚇軟件進行大規模的攻擊。

　　據國外(wai)媒體報道，一(yi)個標(biao)識為CVE-2013-2423的漏洞已經成(cheng)為網絡犯罪分子攻(gong)擊的目標(biao)，而它(ta)正是甲骨文4月16日公布的Java 7 Update 21 修(xiu)復的42個問題之(zhi)一(yi)。

　　但甲(jia)骨文聲(sheng)稱該漏(lou)洞僅影(ying)響客戶端，而不(bu)(bu)是服務器(qi)。對(dui)于該漏(lou)洞造成的(de)(de)影(ying)響，甲(jia)骨文根據常見(jian)漏(lou)洞評分(fen)系統(CVSS)給(gei)出一個(ge)4.3的(de)(de)分(fen)數(滿分(fen)為(wei)10分(fen))，并且(qie)甲(jia)骨文還補充說：“只有不(bu)(bu)受(shou)信(xin)任的(de)(de)Java Web Start程序(xu)和不(bu)(bu)受(shou)信(xin)任的(de)(de)Java applet才(cai)可能利用(yong)該漏(lou)洞。”

　　一個(ge)網(wang)名為Kafeine的獨立惡意軟(ruan)件(jian)(jian)研究員周二(er)在博客文(wen)章中說到，似(si)乎(hu)較(jiao)低的CVSS評分并不能阻止針對該(gai)漏(lou)(lou)洞(dong)的網(wang)絡罪犯。漏(lou)(lou)洞(dong)CVE-2013-2423被(bei)集成到一個(ge)稱(cheng)為Cool Exploit Kit的高端Web攻擊工具包，用于(yu)安(an)裝(zhuang)一個(ge)稱(cheng)為Reveton惡意軟(ruan)件(jian)(jian)。

　　Reveton是一類叫做(zuo)勒(le)索軟(ruan)件(jian)的(de)惡意程序，用于向受害(hai)者(zhe)(zhe)勒(le)索錢(qian)財。特別是，Reveton鎖定受感染計(ji)算機上的(de)操作系統要求受害(hai)者(zhe)(zhe)支付一個虛構的(de)罰(fa)款(kuan)，非法下載和(he)存儲文件(jian)。

　　芬(fen)蘭反病毒(du)廠商(shang)F-Secure公司的安全研究人(ren)員證(zheng)實了CVE-2013-2423被(bei)廣為利用。其中新一輪(lun)攻擊從4月(yue)21日開始，直至周二仍(reng)然活躍(yue)。

　　F-Secure的研究人(ren)員(yuan)透露(lu)，在該漏洞被(bei)添加到Metasploit(一(yi)個常用的開源滲透測試工(gong)具(ju))一(yi)天(tian)后(hou)，針對該漏洞大規模(mo)攻(gong)擊(ji)便(bian)開始。這不是(shi)網絡犯罪分子第一(yi)次利用Metasploit攻(gong)擊(ji)模(mo)塊適應他們的惡意攻(gong)擊(ji)工(gong)具(ju)包。

　　需要使用(yong)(yong)Java的(de)(de)用(yong)(yong)戶(尤其是瀏覽器(qi))應(ying)當盡快升級他們手中Java安裝程(cheng)序(xu)(xu)——Java 7 Update 21 。這(zhe)個版(ban)本還改變了(le)網站(zhan)加(jia)載Web Java程(cheng)序(xu)(xu)時的(de)(de)安全提示，以(yi)便更好地(di)區(qu)分(fen)不同類(lei)型的(de)(de)應(ying)用(yong)(yong)程(cheng)序(xu)(xu)運行的(de)(de)風險。

　　用戶應當只允許他們信任的網站加(jia)載(zai)運行Java applet。像谷歌Chrome和MozillaFirefox這樣(yang)的瀏覽(lan)器也有一個特點，被稱為點擊播放，可以用來(lai)阻止插件(jian)的內容(rong)在未經同意(yi)的情(qing)況下執行。