Java 再现“0day”漏洞,致使 Twitter 25 万用户信息泄露

  • 水羽哲

2013 年 2 月 5 日

话题:Java安全语言 & 开发

上周,Twitter 遭遇了用户密码泄露事件,大约 25 万用户信息被黑客获取,Twitter 信息安全主管 Bob Lord(@boblord)在官方博客中做出了回应:

我们发现了一个持续的攻击并立即把它阻止,但是发现有 25 万用户的用户名、邮箱地址、session token 和加密 / 加盐版本的密码泄露;

对于已经泄露账户的安全问题,他说道:

我们已经重置了密码并废除了这些账户的 session token,并随即给所有涉及账户发送了提醒邮件,在用户重置密码之前将不能登录 Twitter。

最后他建议用户要使用强密码来保证信息安全并关闭浏览器的 Java 插件。

有消息称此次的密码泄露事件,是黑客利用日前暴漏的 Java“0day”漏洞攻破 Twitter 员工的个人电脑引起的,关于这个 Java 漏洞,美国国土安全局之前就已经披露了相关信息,如下是对这个漏洞的简要回顾:

1 月 10 号发布的安全漏洞信息指出 Java 7 Update 10 以及之前版本的 Java 7 含有允许任意代码在被攻击者计算机上运行的漏洞。通过这个“0day”漏洞,不小心访问存在恶意代码网页的用户可能会被安装木马程序,窃取敏感数据。对此美国国土安全局呼吁大家临时关闭 Java 浏览器插件防止被黑客攻击,Oracle 也随即表示将会发布更新补丁

2 月 1 号国土安全局又指出之前 Oracle 的更新补丁没有达到预期的修复效果,漏洞依旧存在,Oracle 方面已经做出紧急回复

在漏洞被有效解决之前,为了个人信息的安全,建议大家临时关闭浏览器 Java 插件

去年在苹果上爆发 Flashback 病毒以及现在接连爆出的多个“0Day 漏洞”让大家对 Java 的安全性担忧,亲爱的 InfoQ 读者,你怎样看待 Java 的安全问题?欢迎参与讨论。

Java安全语言 & 开发