à¹à¸§à¸à¹à¸²à¸à¸±à¸ à¸à¸à¸±à¸à¸à¸´à¹à¸¨à¸©
ตามที่ชื่อของเซิร์ฟเวอร์ JRE เป็นเวอร์ชัน ของสภาพแวดล้อมรันไทม์ Java ที่ออกแบบมาสำหรับการใช้งานเซิร์ฟเวอร์ Java ตาม Oracle เซิร์ฟเวอร์ JRE ไม่มีปลั๊กอินของเบราว์เซอร์ Java ซึ่งเป็นเป้าหมายที่พบบ่อยสำหรับการหาประโยชน์จากเว็บองค์ประกอบการอัพเดตอัตโนมัติหรือตัวติดตั้งที่พบในแพคเกจ JRE ตามปกติ
[อ่านเพิ่มเติม: เพื่อลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]
แม้ว่าออราเคิลจะตระหนักว่าจุดอ่อนของ Java สามารถใช้ประโยชน์จากการปรับใช้เซิร์ฟเวอร์โดยการป้อนข้อมูลที่เป็นอันตรายไปยัง APIs (Application Programming Interfaces) ในคอมโพเนนต์ที่มีช่องโหว่ข้อความดังกล่าวมักเป็นว่า Java ส่วนใหญ่ ช่องโหว่นี้มีผลต่อจาวาเบราว์เซอร์เท่านั้นหรือสถานการณ์การใช้ประโยชน์จากข้อบกพร่องของ Java บนเซิร์ฟเวอร์เป็นเรื่องที่ไม่น่าจะเกิดขึ้น Gowdiak กล่าวในวันอังคารทางอีเมล
"เราพยายามทำให้ผู้ใช้ทราบว่าข้อเรียกร้องของ Oracle ไม่ถูกต้องเมื่อเทียบกับผลกระทบของ Java ช่องโหว่ของ SE "Gowdiak กล่าว "เราพิสูจน์ให้เห็นว่าบักที่ได้รับการประเมินโดย Oracle ซึ่งมีผลต่อปลั๊กอิน Java อาจส่งผลกระทบต่อเซิร์ฟเวอร์ด้วยเช่นกัน"ในเดือนกุมภาพันธ์ Security Explorations ได้เผยแพร่การใช้ประโยชน์จากข้อพิสูจน์ของความเสี่ยง Java ซึ่งจัดเป็น plug- based ซึ่งอาจถูกนำมาใช้เพื่อโจมตี Java บนเซิร์ฟเวอร์โดยใช้โปรโตคอล RMI (วิธีเรียกกระบวนการระยะไกล) Gowdiak กล่าว ออราเคิลได้กล่าวโจมตีเวิร์กโจมตี RMI ในการปรับปรุง Java เมื่อสัปดาห์ที่แล้ว แต่ยังมีวิธีอื่น ๆ ในการโจมตีการใช้งาน Java บนเซิฟเวอร์อยู่เขากล่าวว่านักวิจัยด้านความปลอดภัย Security ไม่ได้ตรวจสอบการใช้ช่องโหว่ใหม่ที่พบกับเซิร์ฟเวอร์ JRE, แต่ระบุถึง Java APIs และส่วนประกอบที่รู้จักกันดีซึ่งสามารถใช้ในการโหลดหรือรันโค้ด Java ที่ไม่น่าเชื่อถือบนเซิร์ฟเวอร์ได้
ถ้ามีเวกเตอร์การโจมตีอยู่ในคอมโพเนนต์ที่กล่าวถึงในแนวทางที่ 3-8 ของ "แนวทางการเข้ารหัสที่ปลอดภัยสำหรับ Java" ของ Oracle ภาษาเขียนโปรแกรม "การใช้งานเซิร์ฟเวอร์ Java สามารถโจมตีผ่านช่องโหว่เช่นเดียวกับที่รายงานในวันจันทร์ถึง Oracle Gowdiak กล่าวว่า
นักวิจัยให้ความสำคัญกับการใช้ API Reflection และตรวจสอบปัญหาด้านความปลอดภัยใน Java 7 เนื่องจากองค์ประกอบดังกล่าว เป็นแหล่งที่มาของช่องโหว่หลายช่องโหว่ "สะท้อน API ไม่พอดีกับรูปแบบการรักษาความปลอดภัย Java ได้เป็นอย่างดีและถ้าใช้อย่างไม่ถูกต้องก็สามารถนำไปสู่ปัญหาด้านความปลอดภัย" เขากล่าว "
ข้อบกพร่องใหม่นี้เป็นตัวอย่างทั่วไปของจุดอ่อน API Reflection, Gowdiak กล่าว. ช่องโหว่นี้ไม่ควรอยู่ในโค้ด Java 7 ปีหลังจากปัญหาความปลอดภัยทั่วไปเกี่ยวกับ Reflection API ถูกรายงานไปยัง Oracle โดย Security Explorations เขากล่าวว่า
H3C เริ่มก่อตั้งขึ้นเมื่อปี พ.ศ. 2546 ในฐานะ บริษัท ร่วมทุนระหว่าง บริษัท 3Com กับ บริษัท ยักษ์ใหญ่ด้านระบบเครือข่ายของจีน Huawei Technologies เน้นการให้ Huawei เข้าสู่ตลาดสหรัฐและช่วยให้ 3Com มีองค์กรที่แข็งแกร่งขึ้น บริษัท ซิสโก้ค่อยๆล่มสลายจากตลาดองค์กรขนาดใหญ่ 3Com เพื่อมุ่งไปที่ธุรกิจขนาดเล็กและขนาดกลางโดยเน้นที่แบรนด์เดิมของ บริษัท ยังคงมุ่งเน้น 3Com ซื้อ H3C ออกจาก Huawei ในปี 2550 แต่ บริษัท ยังคงพัฒนาและสร้างผลิตภัณฑ์ในประเทศจีน
[อ่านเพิ่มเติม: กล่อง NAS ที่ดีที่สุดสำหรับสตรีมมิ่งสื่อและการสำรองข้อมูล]
นักวิจัยจาก Security Explorations ซึ่งเป็น บริษัท วิจัยช่องโหว่ของโปแลนด์อ้างว่าได้พบช่องโหว่ใหม่ 2 ช่องโหว่ใน Java 7 Update 11 ซึ่งสามารถใช้เพื่อหลีกเลี่ยงซอฟต์แวร์ได้ แซนด์บ็อกซ์ความปลอดภัยและรันโค้ดโดยพลการบนคอมพิวเตอร์
Oracle เปิดตัว Java 7 Update 11 เมื่อวันอาทิตย์ที่แล้วในฐานะการปรับปรุงความปลอดภัยในกรณีฉุกเฉินเพื่อป้องกันการโจมตีจาก zero-day ที่อาชญากรไซเบอร์ใช้เพื่อติดมัลแวร์ด้วย
Java Update ดาวน์โหลด Java เวอร์ชันล่าสุดสำหรับ Windows ตรวจสอบว่าคุณได้ติดตั้ง Java แล้วหรือไม่ ดูว่าทำงานได้ดีหรือไม่ ตรวจสอบเวอร์ชั่นของ JRE ที่เบราว์เซอร์ของคุณกำลังทำงานอยู่
สองแอพพลิเคชันที่เราส่วนใหญ่ติดตั้งไว้ในคอมพิวเตอร์ Windows ของเราและต้องได้รับการอัพเดตบ่อยๆคือ Flash และ Java