據(jù)國外媒體報道，一個標識為CVE-2013-2423的漏洞已經(jīng)成為網(wǎng)絡(luò)犯罪分子攻擊的目標，而它正是甲骨文4月16日公布的Java 7 Update 21 修復(fù)的42個問題之一。

　　但甲骨文聲稱該漏洞僅影響客戶端，而不是服務(wù)器。對于該漏洞造成的影響，甲骨文根據(jù)常見漏洞評分系統(tǒng)(CVSS)給出一個4.3的分數(shù)(滿分為10分)，并且甲骨文還補充說：“只有不受信任的Java Web Start程序和不受信任的Java applet才可能利用該漏洞。”

　　一個網(wǎng)名為Kafeine的獨立惡意軟件研究員周二在博客文章中說到，似乎較低的CVSS評分并不能阻止針對該漏洞的網(wǎng)絡(luò)罪犯。漏洞CVE-2013-2423被集成到一個稱為Cool Exploit Kit的高端Web攻擊工具包，用于安裝一個稱為Reveton惡意軟件。

　　Reveton是一類叫做勒索軟件的惡意程序，用于向受害者勒索錢財。特別是，Reveton鎖定受感染計算機上的操作系統(tǒng)要求受害者支付一個虛構(gòu)的罰款，非法下載和存儲文件。

　　芬蘭反病毒廠商F-Secure公司的安全研究人員證實了CVE-2013-2423被廣為利用。其中新一輪攻擊從4月21日開始，直至周二仍然活躍。

　　F-Secure的研究人員透露，在該漏洞被添加到Metasploit(一個常用的開源滲透測試工具)一天后，針對該漏洞大規(guī)模攻擊便開始。這不是網(wǎng)絡(luò)犯罪分子第一次利用Metasploit攻擊模塊適應(yīng)他們的惡意攻擊工具包。

　　需要使用Java的用戶(尤其是瀏覽器)應(yīng)當盡快升級他們手中Java安裝程序——Java 7 Update 21 。這個版本還改變了網(wǎng)站加載Web Java程序時的安全提示，以便更好地區(qū)分不同類型的應(yīng)用程序運行的風(fēng)險。

　　用戶應(yīng)當只允許他們信任的網(wǎng)站加載運行Java applet。像谷歌Chrome和MozillaFirefox這樣的瀏覽器也有一個特點，被稱為點擊播放，可以用來阻止插件的內(nèi)容在未經(jīng)同意的情況下執(zhí)行。