Friday, August 31, 2012

โอราเคิลออก Java 7 Update 7 เพื่อแก้ไขช่องโหว่ CVE-2012-4681 ที่มีความร้ายแรงสูง

สืบเนื่องจากการพบปัญหาช่องโหว่ความปลอดภัย CVE-2012-4681 ที่มีความร้ายแรงสูงใน Java 7 วันที่ 31 สิงหาคม 2555 ทางโอราเคิลได้ออก Java 7 Update 7 เพื่อแก้ไขช่องโหว่ CVE-2012-4681 แล้ว นอกจากนี้ยังแก้ไขช่องโหว่เพิ่มเติมอีก 3 ช่องโหว่โดย 2 ช่องโหว่มีผลระทบกับ Java 7 และอีก 1 ช่องโหว่มีผลระทบทั้ง Java 7 และ Java 6 ทั้งนี้ ปัจจุบันมีการโจมตีช่องโหว่ CVE-2012-4681 เกิดขึ้นแล้ว และมีการเผยแพร่โค้ดสำหรับโจมตี (Exploit code) บนอินเทอร์เน็ตแล้วด้วย ดังนั้นเพื่อความปลอดภัยให้ผู้ใช้ Java 7 อัพเดทเป็น Java 7 Update 7 และ ผู้ใช้ Java 6 อัพเดทเป็น Java 6 Update 35 ในทันทีที่ทำได้

ช่องโหว่ที่ได้รับการแก้ไข
ช่องโหว่ที่ได้รับการแก้ไขมี 4 ช่องโหว่ ดังนี้
  • CVE-2012-4681 เป็นช่องโหว่ที่มีผลกระทบกับ JRE 7 Update 6 และเก่ากว่า CVE-2012-4681 เป็นช่องโหว่ที่มีความร้ายแรงที่สุดที่ได้รับการแก้ไขมีคะแนนประเมิน CVSS เท่ากับ 10 ซึ่งหมายความว่าสามารถถูกโจมตีจากระยะไกลได้และหากการโจมตีประสบความสำเร็จจะสามารถทำการรันโค้ดได้โดยไม่ต้องใช้ชื่อผู้ใช้และรหัสผ่าน ปัจจุบันมีรายงานการโจมตีช่องโหว่นี้แล้ว และมีการเผยแพร่โค้ดสำหรับโจมตี (Exploit code) บนอินเทอร์เน็ตแล้วด้วย
  • CVE-2012-1682 เป็นช่องโหว่ที่มีผลกระทบกับ JRE 7 Update 6 และเก่ากว่า
  • CVE-2012-3136 เป็นช่องโหว่ที่มีผลกระทบกับ JRE 7 Update 6 และเก่ากว่า
  • CVE-2012-0547 เป็นช่องโหว่ที่มีผลกระทบกับ JRE 7 Update 6 และเก่ากว่า, JRE 6 Update 34 และเก่ากว่า

อนึ่ง ช่องโหว่เหล่านี้มีผลกับกระทบเฉพาะกับโปรแกรมเบราเซอร์เวอร์ชันสำหรับเดสก์ท็อป โดยการโจมตีจะเกิดขึ้นได้ก็ต่อเมื่อผู้ใช้ทำการเปิดเว็บไซต์ซึ่งมีการแฝงโค้ดสำหรับใช้โจมตีด้วยเบราเซอร์ที่ได้รับผลกระทบเท่านั้น

ซอฟต์แวร์ที่ได้รับผลกระทบ
  • JDK และ JRE 7 Update 6 และเก่ากว่า
  • JDK และ JRE 6 Update 34 และเก่ากว่า

วิธีการป้องกันการโจมตีจากมัลแวร์และแฮกเกอร์
โอราเคิลแนะนำให้ผู้ใช้ Java บน Windows, MAC และ Linux ดำเนินการดังนี้
  • สำหรับผู้ใช้ JDK และ JRE 7 Update 6 และเก่ากว่า ให้ทำการอัพเดทเป็น Java 7 Update 7 (1.7.0.7)
  • สำหรับผู้ใช้ JDK และ JRE 6 Update 34 และเก่ากว่า ให้ทำการอัพเดทเป็น Java 6 update 35 (1.6.0.35)

Java 6 Update 35

บทความโดย: TWA Blog

แหล่งข้อมูลอ้างอิง

Copyright © 2012 TWA Blog. All Rights Reserved.

0 Comment: