安全研究人員警告說，最近修補(bǔ)的Java遠(yuǎn)程執(zhí)行代碼漏洞已經(jīng)被網(wǎng)絡(luò)犯罪分子利用，通過恐嚇軟件進(jìn)行大規(guī)模的攻擊。

　　據(jù)國(guó)外媒體報(bào)道，一個(gè)標(biāo)識(shí)為CVE-2013-2423的漏洞已經(jīng)成為網(wǎng)絡(luò)犯罪分子攻擊的目標(biāo)，而它正是甲骨文4月16日公布的Java 7 Update 21 修復(fù)的42個(gè)問題之一。

　　但甲骨文聲稱該漏洞僅影響客戶端，而不是服務(wù)器。對(duì)于該漏洞造成的影響，甲骨文根據(jù)常見漏洞評(píng)分系統(tǒng)(CVSS)給出一個(gè)4.3的分?jǐn)?shù)(滿分為10分)，并且甲骨文還補(bǔ)充說：“只有不受信任的Java Web Start程序和不受信任的Java applet才可能利用該漏洞�！�

　　一個(gè)網(wǎng)名為Kafeine的獨(dú)立惡意軟件研究員周二在博客文章中說到，似乎較低的CVSS評(píng)分并不能阻止針對(duì)該漏洞的網(wǎng)絡(luò)罪犯。漏洞CVE-2013-2423被集成到一個(gè)稱為Cool Exploit Kit的高端Web攻擊工具包，用于安裝一個(gè)稱為Reveton惡意軟件。

　　Reveton是一類叫做勒索軟件的惡意程序，用于向受害者勒索錢財(cái)。特別是，Reveton鎖定受感染計(jì)算機(jī)上的操作系統(tǒng)要求受害者支付一個(gè)虛構(gòu)的罰款，非法下載和存儲(chǔ)文件。

　　芬蘭反病毒廠商F-Secure公司的安全研究人員證實(shí)了CVE-2013-2423被廣為利用。其中新一輪攻擊從4月21日開始，直至周二仍然活躍。

　　F-Secure的研究人員透露，在該漏洞被添加到Metasploit(一個(gè)常用的開源滲透測(cè)試工具)一天后，針對(duì)該漏洞大規(guī)模攻擊便開始。這不是網(wǎng)絡(luò)犯罪分子第一次利用Metasploit攻擊模塊適應(yīng)他們的惡意攻擊工具包。

　　需要使用Java的用戶(尤其是瀏覽器)應(yīng)當(dāng)盡快升級(jí)他們手中Java安裝程序——Java 7 Update 21 。這個(gè)版本還改變了網(wǎng)站加載Web Java程序時(shí)的安全提示，以便更好地區(qū)分不同類型的應(yīng)用程序運(yùn)行的風(fēng)險(xiǎn)。

　　用戶應(yīng)當(dāng)只允許他們信任的網(wǎng)站加載運(yùn)行Java applet。像谷歌Chrome和MozillaFirefox這樣的瀏覽器也有一個(gè)特點(diǎn)，被稱為點(diǎn)擊播放，可以用來阻止插件的內(nèi)容在未經(jīng)同意的情況下執(zhí)行。