امنیت

فناوری اطلاعات

January 15, 2013
22:30 سه شنبه، 26ام دیماه 1391
کد خبر: 52754

انتشار اصلاحیه‌های خارج از نوبت جاوا و هشدار به کاربران

 

شرکت اوراکل دو اصلاحیه خارج از نوبت را برای آسیب‌پذیری‌های موجود در برنامه‌های جاوا منتشر کرد.
 
روز یکشنبه شرکت اوراکل دو اصلاحیه خارج از نوبت را برای آسیب‌پذیری‌های موجود در برنامه‌های جاوا منتشر کرد.
 
Eric Maurice از شرکت اوراکل گفت: این شرکت توصیه می‌کند که این هشدار امنیتی در اسرع وقت اعمال شود زیرا این مسائل ممکن است به طور گسترده مورد سوء استفاده قرار بگیرند و برخی از کدهای سوءاستفاده در برخی از ابزارهای هک وجود دارد.
 
هر دو آسیب‌پذیری کاربران را در معرض خطر قرار می‌دهد تا بوسیله یک اپلت مخرب مورد حمله قرار بگیرند. این اپلت یک برنامه جاوا است که از سرورهای دیگر دانلود می‌شود و اگر برروی سیستم کاربر جاوا نصب باشد، این اپلت اجرا می‌شود. اپلت‌ها در صفحات وب تعبیه شده‌اند و در مرورگر اجرا می‌شوند.
 
بنا بر اعلام مرکز ماهر، با توجه به راهنمایی امنیتی منتشر شده توسط CERT ایالات متحده، پلت فرم‌هایی که تحت تاثیر این آسیب‌پذیری قرار دارند، سیستم‌هایی هستند که از جاوا نسخه 7 به‌روزرسانی 10 استفاده می‌کنند. این آسیب‌پذیری در جاوا 7 نهفته است که مجوزهای اپلت جاوا را محدود می‌کند و می‌تواند یه مهاجم اجازه دهد تا دستورات دلخواه را برروی سیستم آسیب‌پذیر اجرا کند.
 
شرکت اوراکل اعلام کرد: اصلاحیه دوم، آسیب‌پذیری CVE-2012-3174 را در جاوا برطرف می‌کند که در مرورگرهای وب اجرا
 
می‌شود. این آسیب‌پذیری می‌تواند از راه دور بوسیله فریب کاربر مورد سوء استفاده قرار بگیرد. همچنین به کاربران این شرکت توصیه شده است که هم چنان جاوا را غیرفعال نگه دارند.
 
با وجود آن که روز گذشته شرکت اوراکل یک به روزرسانی فوری برای جاوا منتشر کرد، وزارت امنیت داخلی ایالات متحده هم چنان به کاربران کامپیوتر توصیه می‌کند که جاوا را روی مرورگرهای خود غیرفعال کنند زیرا ممکن است آسیب‌پذیری بدون اصلاح باقی مانده باشد.
 
پیش از این شرکت اوراکل روز یکشنبه یک به روزرسانی برای جاوا منتشر کرد تا یک آسیب‌پذیری بحرانی را در اوارکل جاوا نسخه 7 برطرف کند. این اقدام پس از انتشار راهنمایی امنیتی گروه DHS صورت پذیرفت.
 
هفته گذشته این گروه به کاربران کامپیوتر توصیه کرده بودند که پلاگین‌های جاوا را غیرفعال کنند. رخنه امنیتی موجود در جاوا به مهاجمان اجازه می‌دهد تا از راه دور و بدون احراز هویت کد دلخواه را بر روی کامپیوتر آسیب‌پذیر اجرا کنند.
 
اوراکل در راهنمایی امنیتی منتشر شده اعلام کرد که به شدت به کاربران توصیه می‌شود تا برای برطرف شدن آسیب پذیرها، اصلاحیه‌های امنیتی را اعمال کنند. اما گروه DHS هم چنان نگران است که رخنه‌های ناشناخته‌ای در جاوا بدون اصلاح باقی مانده باشند.
 
گروه CERT اعلام کرد که با وجود آن که اجرای جاوا بر روی مرورگرهای وب ضرورت دارد اما بهتر است حتی پس از انتشار به روز رسانی، آن را غیرفعال نگه دارید. این گروه نیز اظهار کرد که به‌روزرسانی اوراکل تنها یک آسیب‌پذیری را برطرف کرده است و هم چنان سایر آسیب‌پذیری‌ها وجود دارند.
  • مشترک شوید!

    برای عضویت در خبرنامه روزانه ایستنا؛ نشانی پست الکترونیکی خود را در فرم زیر وارد نمایید. پس از آن به صورت خودکار ایمیلی به نشانی شما ارسال میشود، برای تکمیل عضویت خود و تایید صحت نشانی پست الکترونیک وارد شده، می بایست بر روی لینکی که در این ایمیل برایتان ارسال شده کلیک نمایید. پس از آن پیامی مبنی بر تکمیل عضویت شما در خبرنامه روزانه ایستنا نمایش داده میشود.

    با عضویت در خبرنامه پیامکی آژانس خبری فناوری اطلاعات و ارتباطات (ایستنا) به طور روزانه آخرین اخبار، گزارشها و تحلیل های حوزه فناوری اطلاعات و ارتباطات را در هر لحظه و هر کجا از طریق پیام کوتاه دریافت خواهید کرد. برای عضویت در این خبرنامه، مشترکین سیمکارت های همراه اول لازم است عبارت 150 را به شماره 201464 و مشترکین سیمکارت های ایرانسل عبارت ozv ictn را به شماره ۸۲۸۲ ارسال کنند. دریافت موفق هر بسته خبری که محتوی پیامکی با حجم ۵پیامک بوده و ۴ تا ۶ عنوان خبری را شامل میشود، ۳۵۰ ریال برای مشترک هزینه در بردارد که در صورتحساب ارسالی از سوی اپراتور مربوطه محاسبه و از اعتبار موجود در حساب مشترکین سیمکارت های دائمی کسر میشود. بخشی از این درآمد این سرویس از سوی اپراتور میزبان شما به ایستنا پرداخت میشود. مشترکین در هر لحظه براساس دستورالعمل اعلامی در پایان هر بسته خبری قادر خواهند بود اشتراک خود را در این سرویس لغو کنند. هزینه دریافت هر بسته خبری برای مشترکین صرفا ۳۵۰ ریال خواهد بود و این هزینه برای مشترکین در حال استفاده از خدمات رومینگ بین الملل اپراتورهای همراه اول و ایرانسل هم هزینه اضافه ای در بر نخواهد داشت.