CNET新聞專區：Robert Lemos　　24/11/2004

昇陽一款專門讓Java在不同瀏覽器和作業系統上執行的外掛程式(plug-in)出現安全漏洞，使得病毒有可能透過微軟Windows與Linux PC進行感染。

芬蘭的安全研究人員Jouko Pynnonen在6 月份就發現了該漏洞，昇陽在上個月也發佈了相應的修補軟體，但有關該漏洞的詳細資料在本週二才被公諸於眾。安全資訊提供商Secunia 公司在發佈的安全公告中認為該漏洞是「高度危急」。

該Java外掛程式能夠使Web程式(亦即applets)在用戶的電腦上安全執行，但這一安全漏洞卻讓惡意網站可透過用用瀏覽器來避開這些安全機制。

Pynonnen 在接受CNET的電子郵件採訪時表示，「它能夠使駭客直接在用戶電腦上執行程式，不需用戶的介入(僅需作瀏覽網頁的動作)。」

他還指出，「相同的惡意程式碼可以用來攻擊不同的作業系統和瀏覽器。」該漏洞能夠被用來攻擊Windows 或Linux 、IE等主流瀏覽器軟體的系統，這意味著相當大數量的系統都容易受到攻擊。

Pynnonen在本週二發表的告示中表示，駭客可以利用該漏洞對用戶的電腦進行任何操作，包括瀏覽、修改或執行檔案、在用戶的電腦上傳更多的程式碼、發送有關用戶系統的資料。

儘管主流瀏覽器中都存在大量的安全問題，但這一漏洞對於Java技術的安全而言卻相當難堪。Java的設計目標就是在不同的平台上安全地執行從網路上下載的小軟體。

但是，該漏洞使得Javascript程式碼能夠執行本不應該執行的功能。

在上周公佈Solaris 10的詳細資料時，昇陽總裁Jonathan Schwartz表示，Java還沒有遭遇過任何病毒。

但是，這一安全漏洞使病毒能夠利用Java外掛程式感染系統。10月份，手機版Java外掛程式中的一處安全漏洞就使人們擔心，惡意程式碼可能偽裝成有用的程式，對手機發動攻擊。

與IE中的iFrame漏洞相似，該Java漏洞使惡意網站能夠在用戶的PC下載和執行程式碼，危及PC的安全。

Pynnonen在電子郵件中表示，「它可以輕易用來傳播病毒和其他惡意程式碼。惡意程式碼本身不大容易被嵌入電子郵件中，因為電子郵件中的Java applets不會自動執行，但是，電子郵件中可能包含有指向惡意網站的鏈結。」

儘管昇陽不願臆測駭客會如何利用該漏洞，但該公司表示已經努力讓所有用戶都能安裝此一安全修補檔。

昇陽一名代表本週二表示，「我們很認真看待此一問題，額外作了許多努力來公布此一修補檔。」

昇陽、Secunia 以及Pynnonen都沒有表明這一漏洞是否會影響蘋果的Mac OS X作業系統。昇陽這名代表指出他們還在進行瞭解中。蘋果則不願對此表示意見。(陳奭璁整理)