วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (กันยายน 2024)
Oracle ได้ออกการอัพเดทฉุกเฉินอื่นสำหรับ Java นี่เป็นการอัพเดทฉุกเฉินครั้งที่สามที่ บริษัท เปิดตัวในปี 2556 เพื่อแก้ไขปัญหาความปลอดภัยที่อ้าปากค้างใน Java ซึ่งมีการใช้งานแล้วในการโจมตี
CVE-2013-0809 ที่ปรับปรุงล่าสุด, Java 7 update 17 และ Java 6 update 43, ระบุ CVE-2013-1493 และช่องโหว่ที่เกี่ยวข้อง (CVE-2013-0809), Oracle กล่าวในคำแนะนำด้านความปลอดภัย ช่องโหว่ทั้งสองส่งผลกระทบต่อองค์ประกอบ 2 มิติของ Java SE ซึ่งจัดการกับกราฟิกรันไทม์และวิธีการแสดงรูปภาพตามโพสต์บล็อกจาก Eric Maurice ผู้อำนวยการประกันความปลอดภัยของซอฟต์แวร์ที่ Oracle
ผู้ใช้ Java ทุกคนควรอัพเกรดเป็นเวอร์ชั่นล่าสุดทันที บริษัท กล่าว
"ช่องโหว่เหล่านี้อาจถูกโจมตีจากระยะไกลโดยไม่ต้องมีการตรวจสอบความถูกต้องเช่นพวกเขาอาจถูกโจมตีผ่านเครือข่ายโดยไม่ต้องใช้ชื่อผู้ใช้และรหัสผ่าน" Oracle เขียน
ผู้โจมตีสามารถหลอกลวงผู้ใช้ที่ไม่สงสัยในการเยี่ยมชมโค้ดโฮสติ้งของเว็บเพจที่เป็นอันตรายซึ่งก่อให้เกิดข้อบกพร่องด้านความปลอดภัยดังกล่าว Oracle กล่าว นักวิจัยค้นพบการโจมตีในคอมพิวเตอร์ผู้ใช้ที่ติดไวรัสด้วยโทรจันเข้าถึงทางไกลของ McRAT McRAT ติดต่อผู้ใช้เซิร์ฟเวอร์คำสั่งและควบคุมและคัดลอกตัวเองเข้าสู่กระบวนการระบบปฏิบัติการ Windows
การหาประโยชน์ถ้าสำเร็จ "สามารถส่งผลกระทบต่อความพร้อมใช้งานความสมบูรณ์และความลับของระบบของผู้ใช้" Oracle เขียน
มีการอัปเดตจำนวนมากปิดใช้งานถ้าคุณทำได้
Oracle อัพเดท Java ในช่วงกลางเดือนมกราคมและอีกครั้งในต้นเดือนกุมภาพันธ์ด้วยการอัพเดทฉุกเฉินหลังจากมีรายงานเกิดขึ้นในช่วงคริสมาสต์ของการโจมตีแบบสไตล์รดน้ำหลุมที่มีผลต่อเว็บไซต์ต่างๆ บริษัท เปิดตัวการอัปเดตตามกำหนดเวลาซึ่งจัดการข้อผิดพลาด 50 ข้อในวันที่ 19 กุมภาพันธ์ข้อบกพร่องทั้งสองนี้ถูกรายงานไปยัง Oracle 1 กุมภาพันธ์ แต่ไม่สามารถรวมอยู่ในการอัปเดต 19 กุมภาพันธ์ได้ Maurice เขียน
เมื่อพิจารณาถึงการอัปเดต Java ตามกำหนดครั้งต่อไปคือในเดือนเมษายน บริษัท ตัดสินใจที่จะปล่อยแพทช์นอกวงเนื่องจากข้อบกพร่องถูกใช้อย่างแข็งขันในการโจมตี
"เพื่อที่จะช่วยรักษาตำแหน่งความปลอดภัยของผู้ใช้ Java SE ทั้งหมด Oracle ตัดสินใจที่จะปล่อยการแก้ไขสำหรับช่องโหว่นี้และข้อผิดพลาดอื่นที่เกี่ยวข้องอย่างใกล้ชิดโดยเร็วที่สุด" Maurice กล่าว
มอริซมั่นใจกับผู้ใช้ว่าปัญหานี้มีอยู่ในแอปพลิเคชัน Java ที่ทำงานในเว็บเบราว์เซอร์เท่านั้นและไม่ได้ใช้กับ Java ที่รันบนเซิร์ฟเวอร์แอปพลิเคชัน Java แบบสแตนด์อโลนหรือแอปพลิเคชัน Java ในตัว ผู้เชี่ยวชาญด้านความปลอดภัยหลายคนและทีมรับมือเหตุฉุกเฉินด้านความปลอดภัยคอมพิวเตอร์ของแผนกความมั่นคงแห่งมาตุภูมิ (CERT) แนะนำให้ผู้ใช้ปิดการใช้งานปลั๊กอิน Java ในเบราว์เซอร์ของตนหากไม่ได้ใช้งานเป็นประจำ
หากผู้ใช้ต้องการ Java ซึ่งครอบคลุมผู้ใช้ด้านธุรกิจและการศึกษาส่วนใหญ่แล้วมันก็คุ้มค่าที่จะเก็บเบราว์เซอร์แยกต่างหากโดยใช้ปลั๊กอิน Java ที่ติดตั้งไว้และใช้เบราว์เซอร์นั้นเพื่อเข้าถึงไซต์เหล่านั้นเท่านั้น
“ เป็นการดีที่จะเห็นว่า Oracle ตอบสนองได้เร็วขึ้นต่อจุดอ่อนที่สำคัญ แต่เป็นเวลาที่ผ่านมาแล้วที่พวกเขาจะดำน้ำลึกลงไปในประเด็นด้านความปลอดภัยของ Java” Lamar Bailey ผู้อำนวยการฝ่ายวิจัยและพัฒนาความปลอดภัยของ nCircle กล่าว SecurityWatch “ ฉันหวังว่าออราเคิลได้มอบหมายทีมวิศวกรด้านความปลอดภัยที่ดีที่สุดของพวกเขาแล้วเพื่อสควอชปัญหาด้านความปลอดภัย Java ที่เหลืออยู่ในเชิงรุก แต่จนกว่าผู้ใช้จะอัปเดต Java บ่อยเท่าที่พวกเขาอัพเดตลายเซ็น AV "
Java 6 เข้าสู่จุดสิ้นสุดของชีวิตในเดือนกุมภาพันธ์นี้ทำให้เกิดความกังวลว่าออราเคิลจะปล่อยให้เวอร์ชั่นเก่าไม่ได้รับการแก้ไขหรือไม่ Oracle patched Java 6 ในการอัปเดตนี้ซึ่งผู้ใช้หลายคนยังคงใช้งานอยู่ ยังไม่ชัดเจนว่า Oracle จะจัดการกับ patch สำหรับ Java 6 ได้อย่างไรในอีกไม่กี่เดือนข้างหน้า
"ฉันคิดเสมอว่าออราเคิลทำงานได้ดีในการรักษาความปลอดภัยของผลิตภัณฑ์ แต่ช่องโหว่จาวาเมื่อเร็ว ๆ นี้ทำให้ฉันหมดศรัทธา" เบลีย์กล่าวเสริมว่าตอนนี้เขาสงสัยว่าปัญหาด้านความปลอดภัยที่ร้ายแรงในผลิตภัณฑ์อื่น ๆ ของออราเคิลคืออะไร .
พบข้อบกพร่องของ Java เพิ่มเติม
ในเกมอย่างต่อเนื่องของ cat and mouse การอัพเดท Java หมายถึงเวลาสำหรับการเปิดเผยช่องโหว่เพิ่มเติม Adam Gowdiak หัวหน้าฝ่ายวิจัยด้านความปลอดภัยของ บริษัท สำรวจโปแลนด์พบปัญหา Java 7 อีกห้าปัญหา
"ห้าปัญหาด้านความปลอดภัยใหม่ถูกค้นพบใน Java SE 7 (หมายเลข 56 ถึง 60) ซึ่งเมื่อรวมเข้าด้วยกันสามารถนำมาใช้ประสบความสำเร็จในการได้รับแซนด์บ็อกซ์การรักษาความปลอดภัย Java ที่สมบูรณ์ในสภาพแวดล้อมของ Java SE 7 update 15" Gowdiak รายการส่งเมล Bugtraq ดูเหมือนว่าผู้โจมตีจะสามารถใช้ปัญหานี้เพื่อทำลายการตรวจสอบความปลอดภัยบางส่วนที่ออราเคิลดำเนินการเมื่อเร็ว ๆ นี้ Gowdiak กล่าว ทั้งห้าประเด็นจำเป็นต้องใช้ร่วมกันเพื่อให้การโจมตีสำเร็จ Gowdiak ได้ส่งข้อมูลรายละเอียดและรหัสการพิสูจน์แนวคิดไปยัง Oracle แล้ว
ปัญหาที่สองอาจส่งผลกระทบต่อ Java 6 แต่ยังไม่ได้รับการยืนยัน
Andrew Java ผู้อำนวยการฝ่ายปฏิบัติการรักษาความปลอดภัยที่ nCircle กล่าวว่า Java กำลังพิสูจน์ให้เห็นว่าเป็นของกำนัลที่มอบให้ผู้โจมตีอย่างต่อเนื่อง เขาทำนายการโจมตีที่ตรงเป้าหมายยิ่งกว่ากับ บริษัท ใหญ่ ๆ “ ข่าวร้ายกับจาวานั้นแย่ลงเรื่อย ๆ และไม่มีที่สิ้นสุด” เขากล่าว
