US-CERT ยังแนะนำให้ "ปิดการทำงานของ Java" ถึงแม้ออราเคิลออกแพตช์แล้ว

By: mk
FounderAndroidRed HatWindows
mk's blog on 15/01/13 8:21 Tags:
Java

US-CERT หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ) ยังออกมาเตือนให้ผู้ใช้งาน Java สั่งปิดการทำงานของ Java ในเว็บเบราว์เซอร์ต่อไป แม้ว่าออราเคิลได้ออกแพตช์ Java 7u11 มาแก้ไขแล้วก็ตาม

US-CERT ให้เหตุผลว่าช่องโหว่ Java ตามข่าวก่อนหน้านี้ถูกใช้งานอย่างแพร่หลาย และมีความเป็นไปได้สูงว่าจะพบช่องโหว่ใหม่ๆ ในอนาคต ดังนั้นเพื่อเป็นการป้องกันตัว ผู้ใช้ควรปิดการใช้งาน Java ผ่าน Java Control Panel หรือหน้าจอตั้งค่าของ Java เอง

ผู้เชี่ยวชาญความปลอดภัยระบุว่า Java 7u11 ไม่ได้แก้ปัญหาทั้งหมด และผู้ใช้ยังมีโอกาสโดนมัลแวร์ได้ ถ้าโดนหลอกให้กดรันโค้ดประสงค์ร้ายด้วยวิธี social engineering

Charlie Miller ผู้เชี่ยวชาญด้านความปลอดภัยคนดัง ให้สัมภาษณ์ว่า Java ไม่ปลอดภัยมานานแล้ว ไม่ใช่จู่ๆ เพิ่งเกิดปัญหาด้านความปลอดภัย เพียงแต่เพิ่งมาเป็นข่าวดังในช่วงหลังเท่านั้นเอง

ที่มา - US-CERT, Reuters, BetaNews

Comments

By: PathSNW
iPhoneBlackberryWindows
PathSNW's blog
on 15/01/13 10:23 #529337 toggle
PathSNW's picture

มันไม่มีสิ่งใดปลอดภัย 100% หรอกครับ

ยิ่งคนใช้เยอะ มัลแวร์ก็เยอะตาม เป็นเรื่องธรรมดา

แต่อย่าแก้ปัญหาแต่ที่ปลายเหตุ โดยการปิดกั้นทุกอย่าง แล้วโม้ว่าปลอดภัย ทั้งที่จริงมัน "ไม่มีอะไรเลย"

เหมือน.................

ขอสามคำให้คอมเม้นนี้!

By: EThaiZone
ContributorSymbianUbuntuWindows
EThaiZone's blog
on 15/01/13 10:47 #529350 Reply to:529337 toggle
EThaiZone's picture

เป็นคอมเมนต์ที่ชวนให้มาม่ามากเลย ปัญหามันไม่ควรแก้ปลายเหตุก็จริง แต่เคสนี้มันคนละเรื่องเลย ทุกวันนี้ยังไม่มีใครบังคับ Oracle ให้ออกแพตช์แก้ไขได้เลย เว้นถ้าไม่เป็นข่าวแล้วสร้าง "ชื่อเสีย" ขึ้นมา พี่แกก็ไม่คิดจะออกมา ถึงรอบออกแพตช์เดียวก็มา แต่ระหว่างรอบใครโดนก็ซวยไป

และไม่ใช่ US-CERT แนะนำคนเดียว Firefox กับ OSX ก็มีอัพเดตให้เอา Java ออกเหมือนกัน ข่าวเก่าหาอ่านเอาเอง

คำว่า "ไม่มีอะไรเลย" พิมพ์มานี้แสดงว่าไม่รู้ว่าอันตรายแค่ไหน เป็นค้นดูๆ ก่อนละกันว่ารูเก่าๆ กว่าพี่แกจะอัพแต่ละตัวรุนแรงแค่ไหน แล้วระยะเวลาที่ดองน่ะเท่าไร และด้วยเหตุผลทั้งมวล บัดนี้ก็ยังมีที่ดองไว้อยู่

By: lew
FounderJusci's WriterMEconomicsAndroid
lew's blog
on 15/01/13 11:15 #529361 Reply to:529337 toggle
lew's picture

ไม่มีอะไรปลอดภัย 100% ครับ

แต่ถ้าผู้ผลิตรับผิดชอบเป็นอย่างดี อัพเดตต่อเนื่องก็ลดความเสี่ยงได้มาก ผู้ใช้มีแนวทางปฎิบัติว่าควรแก้ปัญหายังไง (รีบๆ อัพเดตซะ)

LewCPE's Google+

By: Chiron
iPhoneSymbian
Chiron's blog
on 15/01/13 10:59 #529357 toggle
Chiron's picture

อยากรู้ว่า Java ไม่ทำเงินให้ Oracle เท่าที่ควรเหรอครับ ดูไม่ค่อย Active เท่าไหร่ที่จะอุด

By: EThaiZone
ContributorSymbianUbuntuWindows
EThaiZone's blog
on 15/01/13 11:04 #529359 Reply to:529357 toggle
EThaiZone's picture

ลองอ่านข่าวนี้ดูครับ มีพูดถึงรอบการออกแพตช์ว่าทำไมถึงช้า มีบอกจำนวนรอบด้วย ผมอ่านทีไรก็ปวดตับ

สาเหตุที่บริษัทความปลอดภัยแนะนำให้ถอดจาวา, ออราเคิลรู้ปัญหามาเกือบครึ่งปี

By: line
iPhoneAndroidRed HatWindows
line's blog
on 15/01/13 11:06 #529360 toggle
line's picture

อะไรที่ไปอยู่ภายใต้ Oracle ชักจะเป็นเมียน้อยไปเรื่อยๆ หล๊ะ
ทั้ง Java, MySQL

PS.ส่วนตัวเกลียด Java เพราะ มัน Support ยาก 555+

seeking for New Frontier...

By: nextman13
AndroidUbuntuWindows
nextman13's blog
on 15/01/13 12:02 #529375 toggle
nextman13's picture

ไม่เป็นไร เพราะผมยังใช้ต่อไป แต่ไม่ใช้แบบ plugins ใน browser เท่านี้ก็ปลอดภัยหายห่วง แต่กลับคิดว่า applet นี่เลิกๆ ทำเถอะ เพราะมันเหมือนกับ flash หรือ Activex ผมเลยไม่ชอบ

This is a pen.

By: l2aelba
iPhoneAndroid
l2aelba's blog
on 15/01/13 15:08 #529404 toggle
l2aelba's picture

กำลังสงสัยว่าทำไมธนาคารบางประเทศ ถึงต้องให้ลูกค้า Login ด้วย Java อะ มันปลอดภัยกว่าการ Login ธรรมดาเหรอครับ วานผู้รู้ช่วยตอบที

★★★ l2aelba ★★★

By: AongDev
ContributoriPhoneAndroidIn Love
AongDev's blog
on 15/01/13 17:27 #529440 Reply to:529404 toggle
AongDev's picture

เค้าใช้ applet เพื่อ encrypt/decrypt ข้อมูลในการรับส่งครับ