Java 再现“0day”漏洞，致使 Twitter 25 万用户信息泄露

上周，Twitter 遭遇了用户密码泄露事件，大约 25 万用户信息被黑客获取，Twitter 信息安全主管 Bob Lord（ @boblord ）在官方博客中做出了回应：

我们发现了一个持续的攻击并立即把它阻止，但是发现有 25 万用户的用户名、邮箱地址、session token 和加密 / 加盐版本的密码泄露；

对于已经泄露账户的安全问题，他说道：

我们已经重置了密码并废除了这些账户的 session token，并随即给所有涉及账户发送了提醒邮件，在用户重置密码之前将不能登录 Twitter。

最后他建议用户要使用强密码来保证信息安全并关闭浏览器的 Java 插件。

有消息称此次的密码泄露事件，是黑客利用日前暴漏的 Java“0day”漏洞攻破 Twitter 员工的个人电脑引起的，关于这个 Java 漏洞，美国国土安全局之前就已经披露了相关信息，如下是对这个漏洞的简要回顾：

1 月 10 号发布的安全漏洞信息指出 Java 7 Update 10 以及之前版本的 Java 7 含有允许任意代码在被攻击者计算机上运行的漏洞。通过这个“0day”漏洞，不小心访问存在恶意代码网页的用户可能会被安装木马程序，窃取敏感数据。对此美国国土安全局呼吁大家临时关闭 Java 浏览器插件防止被黑客攻击，Oracle 也随即表示将会发布更新补丁。

2 月 1 号国土安全局又指出之前 Oracle 的更新补丁没有达到预期的修复效果，漏洞依旧存在，Oracle 方面已经做出紧急回复。

在漏洞被有效解决之前，为了个人信息的安全，建议大家临时关闭浏览器 Java 插件。

去年在苹果上爆发 Flashback 病毒以及现在接连爆出的多个“0Day 漏洞”让大家对 Java 的安全性担忧，亲爱的 InfoQ 读者，你怎样看待 Java 的安全问题？欢迎参与讨论。