انتشار اصلاحیههای خارج از نوبت جاوا و هشدار به کاربران
شرکت اوراکل دو اصلاحیه خارج از نوبت را برای آسیبپذیریهای موجود در برنامههای جاوا منتشر کرد.
روز یکشنبه شرکت اوراکل دو اصلاحیه خارج از نوبت را برای آسیبپذیریهای موجود در برنامههای جاوا منتشر کرد.
Eric Maurice از شرکت اوراکل گفت: این شرکت توصیه میکند که این هشدار امنیتی در اسرع وقت اعمال شود زیرا این مسائل ممکن است به طور گسترده مورد سوء استفاده قرار بگیرند و برخی از کدهای سوءاستفاده در برخی از ابزارهای هک وجود دارد.
هر دو آسیبپذیری کاربران را در معرض خطر قرار میدهد تا بوسیله یک اپلت مخرب مورد حمله قرار بگیرند. این اپلت یک برنامه جاوا است که از سرورهای دیگر دانلود میشود و اگر برروی سیستم کاربر جاوا نصب باشد، این اپلت اجرا میشود. اپلتها در صفحات وب تعبیه شدهاند و در مرورگر اجرا میشوند.
بنا بر اعلام مرکز ماهر، با توجه به راهنمایی امنیتی منتشر شده توسط CERT ایالات متحده، پلت فرمهایی که تحت تاثیر این آسیبپذیری قرار دارند، سیستمهایی هستند که از جاوا نسخه 7 بهروزرسانی 10 استفاده میکنند. این آسیبپذیری در جاوا 7 نهفته است که مجوزهای اپلت جاوا را محدود میکند و میتواند یه مهاجم اجازه دهد تا دستورات دلخواه را برروی سیستم آسیبپذیر اجرا کند.
شرکت اوراکل اعلام کرد: اصلاحیه دوم، آسیبپذیری CVE-2012-3174 را در جاوا برطرف میکند که در مرورگرهای وب اجرا
میشود. این آسیبپذیری میتواند از راه دور بوسیله فریب کاربر مورد سوء استفاده قرار بگیرد. همچنین به کاربران این شرکت توصیه شده است که هم چنان جاوا را غیرفعال نگه دارند.
با وجود آن که روز گذشته شرکت اوراکل یک به روزرسانی فوری برای جاوا منتشر کرد، وزارت امنیت داخلی ایالات متحده هم چنان به کاربران کامپیوتر توصیه میکند که جاوا را روی مرورگرهای خود غیرفعال کنند زیرا ممکن است آسیبپذیری بدون اصلاح باقی مانده باشد.
پیش از این شرکت اوراکل روز یکشنبه یک به روزرسانی برای جاوا منتشر کرد تا یک آسیبپذیری بحرانی را در اوارکل جاوا نسخه 7 برطرف کند. این اقدام پس از انتشار راهنمایی امنیتی گروه DHS صورت پذیرفت.
هفته گذشته این گروه به کاربران کامپیوتر توصیه کرده بودند که پلاگینهای جاوا را غیرفعال کنند. رخنه امنیتی موجود در جاوا به مهاجمان اجازه میدهد تا از راه دور و بدون احراز هویت کد دلخواه را بر روی کامپیوتر آسیبپذیر اجرا کنند.
اوراکل در راهنمایی امنیتی منتشر شده اعلام کرد که به شدت به کاربران توصیه میشود تا برای برطرف شدن آسیب پذیرها، اصلاحیههای امنیتی را اعمال کنند. اما گروه DHS هم چنان نگران است که رخنههای ناشناختهای در جاوا بدون اصلاح باقی مانده باشند.
گروه CERT اعلام کرد که با وجود آن که اجرای جاوا بر روی مرورگرهای وب ضرورت دارد اما بهتر است حتی پس از انتشار به روز رسانی، آن را غیرفعال نگه دارید. این گروه نیز اظهار کرد که بهروزرسانی اوراکل تنها یک آسیبپذیری را برطرف کرده است و هم چنان سایر آسیبپذیریها وجود دارند.