۲۷م دیماه ،
فاوانیوز: شرکت اوراکل دو اصلاحیه خارج از نوبت را برای آسیبپذیریهای موجود در برنامههای جاوا منتشر کرد.
Eric Maurice از شرکت اوراکل گفت: این شرکت پیشنهاد میکند که این اخطار امنیتی در اسرع وقت اعمال شود زیرا این مسائل ممکن است به طور گسترده مورد سوء استفاده قرار بگیرند و بعضی از کدهای سوءاستفاده در بعضی از ابزارهای هک وجود دارد.
هر دو آسیبپذیری کاربران را در معرض خطر قرار میدهد تا بوسیله یک اپلت مخرب مورد حمله قرار بگیرند. این اپلت یک برنامه جاوا است که از سرورهای دیگر دانلود میشود و اگر برروی سیستم کاربر جاوا نصب باشد، این اپلت اجرا میشود. اپلتها در صفحات وب تعبیه شدهاند و در مرورگر اجرا میشوند.
بنا بر اعلام مرکز ماهر، با توجه به راهنمایی امنیتی انتشار یافته توسط CERT ایالات متحده، پلت فرمهایی که تحت تاثیر این آسیبپذیری قرار دارند، سیستمهایی می باشند که از جاوا نسخه ۷ بهروزرسانی ۱۰ استفاده میکنند. این آسیبپذیری در جاوا ۷ نهفته است که مجوزهای اپلت جاوا را محدود میکند و میتواند یه مهاجم اجازه دهد تا دستورات دلخواه را برروی سیستم آسیبپذیر اجرا کند.
شرکت اوراکل اعلام کرد: اصلاحیه دوم، آسیبپذیری CVE-2012-3174 را در جاوا برطرف میکند که در مرورگرهای وب اجرا
میشود. این آسیبپذیری میتواند از راه دور بوسیله فریب کاربر مورد سوء استفاده قرار بگیرد. همچنین به کاربران این شرکت پیشنهاد شده است که هم چنان جاوا را غیرفعال نگه دارند.
با وجود آن که روز قبل شرکت اوراکل یک به روزرسانی فوری برای جاوا منتشر کرد، وزارت امنیت داخلی ایالات متحده هم چنان به کاربران کامپیوتر پیشنهاد میکند که جاوا را روی مرورگرهای خود غیرفعال کنند زیرا ممکن است آسیبپذیری بدون اصلاح باقی مانده باشد.
پیش از این شرکت اوراکل روز یکشنبه یک به روزرسانی برای جاوا منتشر کرد تا یک آسیبپذیری بحرانی را در اوارکل جاوا نسخه ۷ برطرف کند. این اقدام پس از انتشار یافتن راهنمایی امنیتی گروه DHS صورت پذیرفت.
هفته قبل این گروه به کاربران کامپیوتر پیشنهاد کرده بودند که پلاگینهای جاوا را غیرفعال کنند. رخنه امنیتی موجود در جاوا به مهاجمان اجازه میدهد تا از راه دور و بدون احراز هویت کد دلخواه را بر روی کامپیوتر آسیبپذیر اجرا کنند.
اوراکل در راهنمایی امنیتی انتشار یافته اعلام کرد که به شدت به کاربران پیشنهاد میشود تا برای برطرف شدن آسیب پذیرها، اصلاحیههای امنیتی را اعمال کنند. اما گروه DHS هم چنان نگران است که رخنههای ناشناختهای در جاوا بدون اصلاح باقی مانده باشند.
گروه CERT اعلام کرد که با وجود آن که اجرای جاوا بر روی مرورگرهای وب ضرورت دارد اما بهتر است حتی پس از انتشار یافتن به روز رسانی، آن را غیرفعال نگه دارید. این گروه نیز اظهار کرد که بهروزرسانی اوراکل تنها یک آسیبپذیری را برطرف کرده است و هم چنان سایر آسیبپذیریها وجود دارند.
Eric Maurice از شرکت اوراکل گفت: این شرکت پیشنهاد میکند که این اخطار امنیتی در اسرع وقت اعمال شود زیرا این مسائل ممکن است به طور گسترده مورد سوء استفاده قرار بگیرند و بعضی از کدهای سوءاستفاده در بعضی از ابزارهای هک وجود دارد.
هر دو آسیبپذیری کاربران را در معرض خطر قرار میدهد تا بوسیله یک اپلت مخرب مورد حمله قرار بگیرند. این اپلت یک برنامه جاوا است که از سرورهای دیگر دانلود میشود و اگر برروی سیستم کاربر جاوا نصب باشد، این اپلت اجرا میشود. اپلتها در صفحات وب تعبیه شدهاند و در مرورگر اجرا میشوند.
بنا بر اعلام مرکز ماهر، با توجه به راهنمایی امنیتی انتشار یافته توسط CERT ایالات متحده، پلت فرمهایی که تحت تاثیر این آسیبپذیری قرار دارند، سیستمهایی می باشند که از جاوا نسخه ۷ بهروزرسانی ۱۰ استفاده میکنند. این آسیبپذیری در جاوا ۷ نهفته است که مجوزهای اپلت جاوا را محدود میکند و میتواند یه مهاجم اجازه دهد تا دستورات دلخواه را برروی سیستم آسیبپذیر اجرا کند.
شرکت اوراکل اعلام کرد: اصلاحیه دوم، آسیبپذیری CVE-2012-3174 را در جاوا برطرف میکند که در مرورگرهای وب اجرا
میشود. این آسیبپذیری میتواند از راه دور بوسیله فریب کاربر مورد سوء استفاده قرار بگیرد. همچنین به کاربران این شرکت پیشنهاد شده است که هم چنان جاوا را غیرفعال نگه دارند.
با وجود آن که روز قبل شرکت اوراکل یک به روزرسانی فوری برای جاوا منتشر کرد، وزارت امنیت داخلی ایالات متحده هم چنان به کاربران کامپیوتر پیشنهاد میکند که جاوا را روی مرورگرهای خود غیرفعال کنند زیرا ممکن است آسیبپذیری بدون اصلاح باقی مانده باشد.
پیش از این شرکت اوراکل روز یکشنبه یک به روزرسانی برای جاوا منتشر کرد تا یک آسیبپذیری بحرانی را در اوارکل جاوا نسخه ۷ برطرف کند. این اقدام پس از انتشار یافتن راهنمایی امنیتی گروه DHS صورت پذیرفت.
هفته قبل این گروه به کاربران کامپیوتر پیشنهاد کرده بودند که پلاگینهای جاوا را غیرفعال کنند. رخنه امنیتی موجود در جاوا به مهاجمان اجازه میدهد تا از راه دور و بدون احراز هویت کد دلخواه را بر روی کامپیوتر آسیبپذیر اجرا کنند.
اوراکل در راهنمایی امنیتی انتشار یافته اعلام کرد که به شدت به کاربران پیشنهاد میشود تا برای برطرف شدن آسیب پذیرها، اصلاحیههای امنیتی را اعمال کنند. اما گروه DHS هم چنان نگران است که رخنههای ناشناختهای در جاوا بدون اصلاح باقی مانده باشند.
گروه CERT اعلام کرد که با وجود آن که اجرای جاوا بر روی مرورگرهای وب ضرورت دارد اما بهتر است حتی پس از انتشار یافتن به روز رسانی، آن را غیرفعال نگه دارید. این گروه نیز اظهار کرد که بهروزرسانی اوراکل تنها یک آسیبپذیری را برطرف کرده است و هم چنان سایر آسیبپذیریها وجود دارند.
منبع: ایسنا
فاوا نیوز
باز بازنشر: پورتال خبری ممتاز نیوز www.momtaznews.com