F-Secure：Java 現漏洞，電腦上敏感資料隨時外流

（2011年12月27日，台北訊）芬蘭防毒軟體公司 F-Secure 發現了一個 Java 的漏洞，並已影響超過萬台電腦。最新發現的 Java 漏洞出現在舊版的 Java 上，如果用戶並未更新到最新版本的 Java，便可能受影響。這個漏洞可以讓 Java 程式避過任何安全限制，並執行任何 Java 程式碼。這將導致攻擊者可以使用 Java 程式監視用戶有沒有「複製」或「貼上」過任何資料，同時並自動竊取這些敏感資料，如銀行密碼、個人資料等。

一般情況下，如果 Java 程式要拿取用戶資料，Java 系統會詢問用戶是否接受，但這次漏洞可以讓攻擊者，在不經過用戶授權的情況下，而隨便執行任何相關程式碼，造成用戶資料外洩的風險。

F-Secure 大中華區總監李力恆表示：「Java 和 JavaScript 是不同的東西，很少用戶會留意到他們的瀏覽器大多也裝有並啟用 Java，同時也很少會真正考慮他們是否真的需要使用 Java。我們建議 Java 的用戶應該盡快檢查他們的 Java 版本，是否已經更新到最新版本。而且如果沒有必要的話，可考慮關閉瀏覽器的 Java 功能，以防不法之徒利用這些漏洞偷取個人資料。如果真的要使用 Java 來進行網路銀行交易，可以考慮在平常使用的瀏覽器中關閉 Java，並安裝第二個瀏覽器來專門登入值得信任、使用 Java 的網站。」

另外，根據 F-Secure 的調查，Chrome 瀏覽器在沙盒技術或其他安全性擴充元件的安全性很高，許多 Java 的漏洞攻擊也無法入侵 Chrome 瀏覽器的用戶，同時，Chrome 預設也不會透過 Adobe Reader 的外掛元件來開啟 PDF 檔案。所以如果真的需要使用 Java，可考慮使用 Chrome。

圖1／黑洞程式顯示，目前已有超過一萬六千部電腦被成功入侵

圖2／StatCounter 調查顯示，Chrome 的瀏覽器佔有率繼續上升

F-Secure–永遠守護您的無價資料

F-Secure芬安全是全球電腦與行動裝置雲端安全領導品牌，無論您是使用電腦或智慧型手機，我們能確保您最重視的資料受到完整的安全保護。F-Secure於全球各地與超過200家電信業者合作提供服務，並擁有數億家庭與企業用戶的信任。F-Secure自1988年成立，總部設於芬蘭赫爾辛基市（Helsinki），已於1999年在NASDAQ OMX赫爾辛基證券交易所上市。歡迎造訪F-Secure網頁：http://www.f-secure.com

關於翔偉資安科技 sunwai InfoSec Technologies, Ltd.

翔偉資安科技為芬蘭國際級防毒領導品牌F-Secure芬安全大中華區總代理，提供端點系統安全進階技術服務與顧問輔導。藉由長期培育的專業工程團隊及客服支援中心，已連年贏得廣大企業客戶、政府機關與學校的肯定，翔偉資安科技代理之F-Secure產品目前已第四年獲得台灣銀行（中信局）共同供應契約合作。翔偉資安科技是台灣最大連鎖紙張供應商賢記紙業集團之關係企業。歡迎造訪翔偉資安科技網頁：http://www.sunwai.com

新聞聯絡人
徐仲威
02-2711-6930 分機 117
cw.hsu@sunwai.com

udn 聯合新聞網 - F-Secure：聖誕節網購成網路犯罪鎖定目標

‧數位資訊 2011/12/23

【聯合新聞網／記者楊又肇／報導】
時間又準備迎接今年的聖誕節慶，許多歐美國家此刻也均迎接購物季節的來到，而今年在網購商機也有相當的成長，因此芬蘭防毒軟體公司F-Secure估計此段期間的網購將成為網路犯罪的高度鎖定目標，可能將造成高達美金1000萬元 (約新台幣3億元)的損失。

根據F-Secure官方所釋出的「2011聖誕節網路犯罪摘要」中指出，今年預計在聖誕節期間將會有高達1.48億名消費者於此期間透過網路購物 (約佔36%)，預計各平台網購通路商總營業金額將上看美金600億元，同時其中受到行動裝置成長影響，約有2100萬的使用者將會藉由智慧型手機、平板裝置完成上網瀏覽比價、兌換折價券或者是完成購物動作等，其中單就智慧型手機的比例將有5成以上 (約53％)，而參與網購的人平均每人約花費美金400元左右。

但潛藏在此波購物季節的商機背後，F-Secure估計將會引發更多網路犯罪器提從中牟利，諸如竊取帳戶資料、假冒詐騙或者透過偽裝資料竊取匯款等手法，根據F-Secure的預測將會造成消費者總計高達美金1000萬元的損失，以過去一年在美國地區所發生的303809件網路犯罪中，幾乎平均每一小時便有35起發生。

圖／F-Secure提供，點按可檢視完整全圖

而相較於歐美地區近期適逢聖誕節慶，台灣地區也準備將於1月底迎接農曆龍年到來，屆時也可能因為網購商機而造成金額損失的情況，因此台灣F-Secure也特別舉列以下三大秘訣提醒網購時應注意事項：

．確認在電腦內安裝具備網路瀏覽監控防護的防毒軟體

．透過完整網址連結購物網站，避免直接透過搜尋引擎所條列內容，因為有可能是網路犯罪者所假冒網站

．留意購物網站網址列前方是否以「https://」作為開頭，通常此類網站多半會以資料加密保護模式營運

此外，F-Secure也公佈針對線上購物業者業績排行，以及相關數據統計內容，如下：

美加地區線上購物業者業績排名

1. Amazon.com
2. Staples
3. Apple
4. Dell
5. Office Depot
6. Walmart.com

近年網路犯罪情形

1. 2011 前半年，釣魚網頁的攻擊事件共發生112472起
2. 在這之中，已有520家機構組織被鎖定為攻擊目標
3. 銀行、電子商務網站、社交網站、電信業者等，都是容易受到攻擊的目標產業
4. 去年消費者花在對付惡意程式的總成本約為23億美金（約690億新台幣）
5. 去年有三分之一的家庭都遭受惡意程式的侵擾
6. 數百萬的人們，對於手機上的個人隱私是否會遭受侵害而感到不安，特別是在網路銀行、網購消費上
7. 30%使用者沒有在手機上安裝任何如防竊軟體、防毒軟體的安全措施

十大網路犯罪類型

付款後卻沒收到商品（14.4%）
假冒警方詐騙（13.2%）
偷取帳號密碼等身分資料（9.8%）
電腦犯罪（9.1%）
各種性質的詐騙行為（8.6%）
預付金詐騙（7.6%）
垃圾郵件、垃圾訊息（6.9%）
拍賣詐騙（5.9%）
信用卡詐騙（5.3%）
溢付金額詐騙（5.3%）

資料引用來源

1. http://www.internetretailer.com/top500/list/
2. http://www.internetretailer.com/2011/10/18/holiday-shopping-lists-move-online
3. http://www.nrf.com/modules.php?name=News&op=viewlive&sp_id=1225
4. http://www.antiphishing.org/resources.html#apwg
5. www.consumerreports.org/cro/magazine-archive/2011/june/electronics-computers/state-of-the-net/online-exposure/index.htm
5. http://ic3report.nw3c.org/docs/2010_IC3_Report_02_10_11_low_res.pdf

新聞引用來源：udn 聯合新聞網
http://mag.udn.com/mag/digital/storypage.jsp?f_MAIN_ID=319&f_SUB_ID=2941&f_ART_ID=362243

udn 聯合新聞網 - F-Secure：平台太多 資安將是未來一大挑戰

‧數位資訊 2011/12/02

【文／楊又肇】

防毒軟體廠商芬安全 (F-Secure)實驗室近期針對今年大幅成長的行動裝置，以及各式電腦平台作了2012年的資安預測報告，其中除指出微軟Windows XP平台目前仍是不少網路犯罪主要攻擊目標外，同時也認為眾多平台的發展，也將使資安人員面臨更多挑戰。

根據F-Secure官方實驗室研究人員表示，過去的預測報告曾經指出整合式的多功能上網裝置將會躍入主流，使用者未來可能將會以隨身攜帶一組多功能智慧型手機或平板的使用模式為主，但以現況來看，其實多數的使用者仍然會同時攜帶不同性質的3C裝置，例如除了隨身帶著筆電外，隨手也會帶上至穢行手機、平板，或者是數位相機等裝置。F-Secure認為，一旦隨身裝置數量、平台增加，未來也將造成資安維護時的複雜度。

Windows XP仍是網路犯罪主要攻擊目標

雖然先前根據市調單位StatCounter的報告表示目前Windows 7市佔已經超越Windows XP，但目前使用Windows XP的人數仍在多數，F-Secure資訊安全顧問Sean Sullivan表示在Windows XP仍佔有一定市佔的情況下，許多網路犯罪者仍會挑選以此平台作為首要攻擊目標。

而針對今年開始陸續抬升曝光率的微軟Windows Phone平台，在正式與Nokia結盟後企圖影響智慧型手機版圖比例，同時如同許多手機硬體廠商紛紛將旗下手機功能搭上Facebook或Twitter等社群網路服務，微軟也旗下Xbox Live功能整合進Windows Phone平台。Sean Sullivan對此也認為，由於微軟旗下平台主要均採用.NET架構，雖然方便讓開發者能輕易地針對App內容在這些平台作平行移轉，但也顯示駭客們也將能利用此項特性讓惡意程式在這些平台上輕易流竄。

Android 4.0平板明年開始威脅蘋果iPad市場

在Android平板方面，F-Secure官方則認為過去在Android 3.0的階段比較像是針對平板軟硬體使用進行「測試」，在實際更新為Android 4.0的時候，由於整合了Android手機與平台使用機能 (編按：Android 4.0平台特性即納入Android 2.3與3.0主要使用特性，同時加入更多諸如臉部辨識、NFC應用等功能)，開發者將不用再針對手機或平板環境各別開發，進而讓整合度更高，同時也有利於App內容及數量的拓展。根據F-Secure官方看法，Android平板陣營將在2012年之後與蘋果iPad有更直接的市場競爭力。

而最後F-Secure也表示，隨著各式平台大舉發展，2012年的資安趨勢將不同於過往，因為部份平台陸續正式投入產業並影響市場市佔，相對受影響的資安威脅程度也不斷在做改變，同時透過不同平台產生的數位化犯罪手法勢必會有所增加，對於往後資安防護課題也將投入更多元的挑戰。

來源：udn 聯合新聞網
http://mag.udn.com/mag/digital/storypage.jsp?f_ART_ID=357859