一些安全研究员发现一波路过式攻击试图利用新的Java零日漏洞来发送恶意软件。

　　在Sun微系统公司的工程师告诉研究员，这个问题并不严重，不需要立即修复之后，谷歌工程师Tavis Ormandy在4月9日发布了概念验证代码。Ormandy在Full Disclosure邮寄清单论坛上公布了Java漏洞的详情。该漏洞对所有的Windows版本都有影响，并已在运行Internet Explorer（IE）和Mozilla Firefox的机器上确认。Ormandy还概述了几个在补丁可以部署之前的解决方法。

　　Ormandy说，这个问题与Java部署工具包分布的Java Webstart Framework（JavaWS）、插件和ActiveX控件一起，默认安装在Java运行环境中。该工具包可以向开发人员提供一个轻松分布应用程序的方法。

　　反病毒厂商AVG技术公司首席研究官Roger Thompson表示，本周出现的路过式攻击是在网站上发布的歌词中发现的。当访问者试图查看音乐明星Rihanna、Usher、Lady Gaga 和Miley Cyrus的音乐歌词时，攻击代码就会扫描受害者的机器，试图找到和利用该漏洞。

　　Thompson说，“所涉及的代码非常简单，这使得它很容易复制，所以仅仅在5天之后，我们就发现代码在俄罗斯的攻击服务器上。”

　　Java的拥有者Sun微系统公司在1月份被甲骨文公司收购。本周，甲骨文公司发布了一个更新，作为这一季度补丁更新的一部分，其中包括Sun的Java更新。这个问题在最新的更新中没有解决。

　　Java的问题由ThreatPost.com的Dennis Fisher在上周首次报道。

　　西班牙安全公司Wintercore的安全研究员兼逆向工程师Ruben Santamarta，在一篇公告中也警告说这个漏洞可能允许远程执行。作为一种应对方法，Santamarta敦促用户在Windows中禁用javaws.exe。