目前多家資訊安全公司發布資訊安全通告表示，目前的Java含有未修補的漏洞，而且黑客已經在攻擊中利用該漏洞，因此在甲骨文（Oracle）修補該漏洞之前，用戶應該先禁用或解除安裝Java。

首先披露此漏洞遭受攻擊的資訊安全公司FireEye表示，他們發現ok.XXX4.net網站是此次攻擊黑客所使用的主機，其IP位于中國境內。當用戶受電子郵件等方式引導連結到該網站時，網頁內含的Java程序能夠跳脫Java的沙箱保護機制，下載安裝惡意程序dropper（Dropper.MsPMs），該惡意程序的主控電腦則為hello.icon.pk，其IP位于新加坡。

專家指出，此漏洞導致的攻擊方式與以往有很大的不同。以往的攻擊通常會導致瀏覽器故障，因此用戶可能會發現有問題，但該漏洞不會導致瀏覽器當機，能在用戶毫無知覺的情境下安裝惡意軟體。

目前最新版本的Java（JDK/JRE version 1.7 update 6）均含有此漏洞，而且是Windows、OS X、Linux各平臺版本都不例外，各資訊安全公司也發現，不管搭配哪個瀏覽器，都一樣會遭入侵。之前的舊版Java則不確定會受此漏洞影響，不過舊版可能含有其他的問題，因此各資訊安全公司均認為用戶不該降級使用舊版。

資訊安全公司DeepEnd及Secunia也指出，此波攻擊的Java程序修改了Java的安全性管理規則，導致Java程序可以不受這些規則限制，可以為所欲為。

DeepEnd公司表示，從Oracle買下SUN取得Java以來，幾乎不曾在每季定期更新之外推出安全更新，他們希望Oracle此次能夠破例，因為下一次定期更新（10/16）還有一個半月的日期。

該公司也開發一個修補該漏洞的工具程序，可以阻止這個惡意Java程序執行，但如果不法之徒取得該程序，可能用來發展新一波的攻擊，因此該工具僅提供給大批電腦且依賴Java運作的資訊管理人員使用。

目前發現的攻擊事件都是針對Windows上的Java 7，但資訊安全顧問公司Accuvant已經證實同樣的漏洞可以在OS X及Linux上進行攻擊，因此這些系統的用戶可能也需要停用或解除Java才能保護系統的安全。

上個月舉辦的黑帽大會中，專家曾指出因為Java具有跨平臺的特性，因此Java的漏洞越來越受注目，Java漏洞往往很快就被加入攻擊用的工具程序中。（編譯/趙倩）