Burito - Штрихи
สารบัญ:
การเปิดเผยข้อมูลต่อไปนี้โดยนักวิจัยด้านความปลอดภัยเกี่ยวกับช่องโหว่ในการปรับปรุงล่าสุดของ Java ซึ่งเผยแพร่เมื่อเดือนมกราคมที่ผ่านมาออราเคิลได้รีบออกไปก่อนที่จะมีกำหนดการกำหนดการแก้ไขภาษาโปรแกรมอีกชุด
การอัปเดตล่าสุดซึ่งกำหนดให้วางจำหน่ายในเดือนกุมภาพันธ์ 19 มีการแก้ไขความปลอดภัย 49 ข้อสำหรับ 49 ข้อบกพร่องที่สามารถใช้งานได้จากระยะไกลโดยไม่ได้รับอนุญาต นั่นหมายความว่าพวกเขาสามารถใช้งานบนเครือข่ายได้โดยปราศจากความรู้เกี่ยวกับชื่อผู้ใช้และรหัสผ่าน
Oracle กล่าวว่าได้รับการปรับปรุงให้เร็วขึ้นเนื่องจากช่องโหว่ที่กล่าวถึงในการอัปเดตได้ถูกนำมาใช้ประโยชน์ในป่าแล้ว
วิธีการกำจัดมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]
"เนื่องจากภัยคุกคามที่เกิดขึ้นจากการโจมตีที่ประสบผลสำเร็จออราเคิลขอแนะนำให้ลูกค้าใช้การแก้ไขของซีพียูโดยเร็วที่สุดเท่าที่จะทำได้" บริษัท เตือนในคำแนะนำการอัพเดท
Oracle รีบเร่ง (US-CERT) ขอแนะนำให้ปิดการใช้งานซอฟต์แวร์โดยผู้ใช้ทุกรายเนื่องจากปัญหาด้านความปลอดภัย ความกังวลเหล่านี้เกี่ยวข้องกับช่องโหว่ Zero Day ที่ใช้ประโยชน์จากชุดเครื่องมือที่สร้างขึ้นโดยอาชญากรไซเบอร์และใช้ในการขโมยข้อมูลที่สำคัญจากคอมพิวเตอร์
แม้จะมีการออกการแก้ไขนั้น Java 7 update 11 หน่วยงานยังคงแนะนำให้ปิด Java เว้นเสียแต่ว่าใช้งานได้อย่างแน่นอน จำเป็นอย่างยิ่ง
อย่างรวดเร็วเห็นได้ชัดว่าการแก้ไข 7u11 พลาดเครื่องหมาย เพียงไม่กี่วันหลังจากที่ปล่อยแฮ็กเกอร์เริ่มขายในตลาดดำออนไลน์ช่องโหว่ใหม่ ๆ ของ Java Zero Day มูลค่า $ 5,000 ต่อคน
แฮ็กเกอร์รายอื่นอาจไม่มีทักษะในการหาช่องโหว่เริ่มใช้ประโยชน์จากหัวข้อข่าวเกี่ยวกับ woes ของ Java ด้วยการติดตั้ง phishing expeditions นำเสนอการปรับปรุงปลอมของภาษาการเขียนโปรแกรมของ Oracle หลังจากการติดตั้งโดยผู้ใช้การอัพเดตปลอมจะติดตั้งประตูหลังไปยังระบบที่ช่วยให้แฮ็กเกอร์สามารถควบคุมได้
ข้อบกพร่องที่พบในการอัพเดท
ความโชคร้ายของ Java ยังคงดำเนินต่อไปเมื่อต่อมาในเดือน Security Explorations ซึ่งเป็น บริษัท รักษาความปลอดภัยของโปแลนด์ ประวัติความเป็นมาของการค้นพบช่องโหว่ด้านความปลอดภัยใน Java ได้ค้นพบช่องโหว่ใหม่ ๆ ในการอัพเดต 7u11 ซึ่งอาจใช้ประโยชน์ได้เพื่อหลีกเลี่ยง sandbox ของโปรแกรมซึ่งเป็นเทคนิคการเขียนโปรแกรมที่ใช้ในการแยกความเสียหายของโค้ดที่เป็นอันตรายลงไปในระบบ
"ปัญหาเหล่านี้จะดำเนินต่อไป จนกว่า Oracle จะแก้ไขปัญหา sandbox "นักวิเคราะห์อาวุโสของ Bitdefender Bogdan Botezatu กล่าวในการสัมภาษณ์ว่า
Botezatu มีความสำคัญในการที่ Oracle ให้ความสำคัญกับผู้ใช้เพื่อรักษาความปลอดภัยในการอัพเดต 7u11
ตัวอย่างเช่นการปรับปรุง ชุดโดยค่าเริ่มต้นระดับความปลอดภัยสูงสุดสำหรับ Java ในระดับนั้นเมื่อใดก็ตามที่แอพเพล็ต Java ที่ไม่ได้รับการรับรองพยายามเรียกใช้ในเบราเซอร์ข้อความจะแจ้งเตือนผู้ใช้ว่าแอปอาจเป็นอันตรายและผู้ใช้ควรดำเนินการตามความเสี่ยงเอง
โดยปกติผู้ใช้จะไม่สนใจคำเตือนดังกล่าวเนื่องจาก พวกเขาพบว่าน่ารำคาญ นั่นเป็นความจริงอย่างยิ่งสำหรับเด็ก ๆ ที่เล่นเกม Java บนเว็บ - ข้อเท็จจริง Botezatu ชี้ให้เห็นว่าไม่สูญหายไปกับ desperadoes ดิจิตอล "ฉันเคยเห็นเว็บไซต์จำนวนมากที่ใช้มัลแวร์ Java บนหน้าเว็บที่ได้รับการปรับให้เหมาะกับคำหลักที่กำหนดเป้าหมายไปที่เด็ก ๆ " เขากล่าว "
ด้วยการอัพเดต Java ล่าสุด Oracle อาจพยายามเปลี่ยนโชคกับโปรแกรม ดูเหมือนว่าจะข้ามการปรับปรุง 12 ในรูปแบบเลขที่และกำหนดชุดล่าสุดของการแก้ไขการปรับปรุง Java 7 13
ช่องโหว่ Zero-Day ที่สำคัญเปิดรูใน IE 6 และ 7
หลุมรักษาความปลอดภัยที่เพิ่งค้นพบใน IE 6 และ 7 ช่วยให้สามารถโจมตีได้ จากภัยคุกคามที่เพิ่งค้นพบซึ่งยังไม่มีแพทช์ใด ๆ สามารถป้องกันการบุกรุกบนเว็บเบราว์เซอร์ Internet Explorer 6 และ 7 ที่ใช้เว็บเบราว์เซอร์ได้
HP Patches ช่องโหว่ OpenView
HP ได้เปิดตัวแพทช์สำหรับช่องโหว่ในคอมโพเนนต์ OpenView
Oracle เปิดตัวการรักษาความปลอดภัย Java ใหม่ในวันอังคารและประกาศแผนการเร่งการเปิดตัว Java patchs ในอนาคตหลังจากการโจมตีล่าสุด มีการติดเชื้อคอมพิวเตอร์ด้วยมัลแวร์โดยใช้ช่องโหว่ zero-day ในปลั๊กอิน Java browser
การปรับปรุงใหม่ Java 7 Update 15 และ Java 6 Update 41 ระบุช่องโหว่ 5 ช่องโหว่เพิ่มเติมที่ไม่สามารถรวมอยู่ในการปรับปรุง Java ฉุกเฉินได้ Oracle ออกเมื่อวันที่ 1 กุมภาพันธ์เนื่องจากข้อ จำกัด ด้านเวลา ในขณะที่ออราเคิลออกมาจากวัฏจักรการซ่อม Java ที่กำหนดไว้ 4 เดือนเพื่อแก้ไขปัญหาช่องโหว่ที่ถูกโจมตีโดยแฮ็กเกอร์