Video: Java 5, 6, 7, 8, 9, 10, 11: What Did You Miss? (Tháng mười một 2024)
Oracle đã ban hành một bản cập nhật khẩn cấp khác cho Java. Đây là bản cập nhật khẩn cấp thứ ba mà công ty đã phát hành vào năm 2013 để khắc phục các sự cố bảo mật trong Java đã được sử dụng trong các cuộc tấn công.
Các bản cập nhật mới nhất, bản cập nhật Java 7 17 và bản cập nhật Java 6 43, đã giải quyết CVE-2013-1493 và một lỗ hổng liên quan (CVE-2013-0809), Oracle cho biết trong tư vấn bảo mật được phát hành hôm thứ Hai. Cả hai lỗ hổng đều ảnh hưởng đến thành phần 2D của Java SE, xử lý đồ họa thời gian chạy và cách hiển thị hình ảnh, theo một bài đăng trên blog từ Eric Maurice, giám đốc đảm bảo an ninh phần mềm tại Oracle.
Tất cả người dùng Java nên ngay lập tức nâng cấp lên các phiên bản mới nhất, công ty cho biết.
"Những lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực, nghĩa là chúng có thể bị khai thác qua mạng mà không cần tên người dùng và mật khẩu", Oracle viết.
Những kẻ tấn công có thể lừa người dùng không nghi ngờ truy cập vào một mã lưu trữ trang web độc hại kích hoạt các lỗi bảo mật đó, Oracle cho biết. Các nhà nghiên cứu đã phát hiện ra các cuộc tấn công trong các máy tính người dùng lây nhiễm hoang dã với Trojan truy cập từ xa McRAT. McRAT liên lạc với các máy chủ chỉ huy và kiểm soát và sao chép chính nó vào các quy trình của hệ điều hành Windows.
Khai thác, nếu thành công, "có thể ảnh hưởng đến tính sẵn sàng, tính toàn vẹn và bảo mật của hệ thống người dùng", Oracle viết.
Rất nhiều cập nhật, vô hiệu hóa nếu bạn có thể
Oracle đã cập nhật Java vào giữa tháng 1 và một lần nữa vào đầu tháng 2 với các cập nhật khẩn cấp sau khi các báo cáo xuất hiện vào dịp Giáng sinh của một loạt các cuộc tấn công kiểu tưới nước ảnh hưởng đến các trang web khác nhau. Công ty đã tung ra một bản cập nhật theo lịch trình giải quyết 50 lỗi vào ngày 19 tháng 2. Hai lỗi này đã được báo cáo cho Oracle vào ngày 1 tháng 2, nhưng không thể đưa vào bản cập nhật ngày 19 tháng 2, Maurice viết.
Xem xét bản cập nhật Java theo lịch trình tiếp theo là vào tháng 4, công ty đã quyết định phát hành một bản vá ngoài băng vì lỗ hổng này đang được sử dụng tích cực trong các cuộc tấn công.
"Để giúp duy trì tư thế bảo mật của tất cả người dùng Java SE, Oracle đã quyết định phát hành bản sửa lỗi cho lỗ hổng này và một lỗi liên quan chặt chẽ khác càng sớm càng tốt", Maurice viết.
Maurice đảm bảo với người dùng rằng các vấn đề chỉ xuất hiện trong các ứng dụng Java chạy trên trình duyệt Web và không áp dụng cho Java chạy trên máy chủ, ứng dụng máy tính để bàn Java độc lập hoặc ứng dụng Java nhúng hoặc phần mềm dựa trên máy chủ Oracle. Nhiều chuyên gia bảo mật và Nhóm Ứng phó khẩn cấp máy tính của Bộ An ninh Nội địa (CERT) khuyên người dùng nên tắt plugin Java trong trình duyệt của họ nếu họ không sử dụng nó thường xuyên.
Nếu người dùng cần Java, bao gồm phần lớn người dùng kinh doanh và giáo dục, thì đáng để giữ một trình duyệt riêng với trình cắm Java được cài đặt và sử dụng trình duyệt đó để chỉ truy cập các trang web đó.
Lamar Bailey, giám đốc nghiên cứu và phát triển bảo mật tại nCircle, nói: "Thật tốt khi thấy Oracle phản ứng nhanh hơn với các lỗ hổng nghiêm trọng, nhưng đã đến lúc họ phải tìm hiểu sâu hơn về các vấn đề bảo mật của Java". "Tôi hy vọng Oracle đã chỉ định một nhóm các kỹ sư bảo mật tốt nhất của họ chủ động giải quyết bất kỳ vấn đề bảo mật Java nào còn lại, nhưng cho đến lúc đó, người dùng sẽ cập nhật Java thường xuyên khi họ cập nhật chữ ký AV", ông nói.
Java 6 đã đi vào giai đoạn cuối của cuộc sống vào tháng 2 này, làm dấy lên mối lo ngại về việc liệu Oracle có để lại phiên bản cũ hơn không. Oracle đã vá Java 6 trong bản cập nhật này, vẫn được nhiều người dùng sử dụng. Không rõ Oracle sẽ xử lý các bản vá cho Java 6 như thế nào trong vài tháng tới.
"Tôi luôn nghĩ rằng Oracle đã làm rất tốt trong việc bảo mật các sản phẩm của họ, nhưng sự phát sinh của các lỗ hổng Java gần đây đang khiến tôi mất niềm tin", Bailey nói và cho biết bây giờ anh tự hỏi loại vấn đề bảo mật nghiêm trọng nào trong các sản phẩm khác của Oracle .
Tìm thấy nhiều lỗi Java hơn
Trong một trò chơi mèo và chuột đang diễn ra, một bản cập nhật Java có nghĩa là đã đến lúc tiết lộ nhiều lỗ hổng hơn. Adam Gowdiak, người đứng đầu công ty nghiên cứu Security Explorations của Ba Lan, đã tìm thấy năm vấn đề Java 7 khác.
"Năm vấn đề bảo mật mới được phát hiện trong Java SE 7 (được đánh số từ 56 đến 60), khi kết hợp với nhau có thể được sử dụng thành công để có được một vòng bỏ qua hộp cát bảo mật Java hoàn chỉnh trong môi trường của bản cập nhật Java SE 7 15", Gowdiak viết hôm thứ Hai Danh sách gửi thư Bugtraq. Có vẻ như những kẻ tấn công sẽ có thể sử dụng các vấn đề để phá vỡ một số kiểm tra bảo mật mà Oracle đã thực hiện gần đây, Gowdiak nói. Tất cả năm vấn đề cần được sử dụng cùng nhau để cuộc tấn công thành công. Gowdiak đã gửi thông tin chi tiết và mã bằng chứng về khái niệm cho Oracle.
Hai trong số các vấn đề cũng có thể ảnh hưởng đến Java 6, nhưng điều đó chưa được xác nhận.
"Java đang chứng tỏ là món quà không ngừng dành cho những kẻ tấn công", Andrew Storms, giám đốc hoạt động bảo mật tại nCircle, nói với SecurityWatch . Ông dự đoán các cuộc tấn công nhắm mục tiêu nhiều hơn chống lại các tập đoàn lớn và các thực thể chính phủ. "Tin xấu với Java cứ trở nên tồi tệ hơn và không có hồi kết, " ông nói.