Tags:
Node Thumbnail

ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน

บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก

ปัญหาคืออะไรกันแน่

นิยามของคำว่า Java นั้นกว้างมาก แต่ในแง่การใช้งานคงหนีไม่พ้นตัวโปรแกรม Java Runtime Environment (ตัวย่อ JRE หรือที่หลังๆ ออราเคิลพยายามใช้คำว่า Java SE แทน) ที่ติดตั้งอยู่ในคอมพิวเตอร์ของผู้ใช้ เพื่อให้คอมพิวเตอร์เครื่องนั้นรันโปรแกรมที่เขียนด้วย Java ได้

อย่างไรก็ตาม โปรแกรมที่เขียนด้วย Java สามารถแบ่งได้เป็น 2 ประเภทใหญ่ๆ

  1. โปรแกรมที่ทำงานบนเดสก์ท็อป (ลักษณะเดียวกับโปรแกรมทั่วไป) เรียกว่า Java application
  2. โปรแกรมที่ทำงานบนเว็บเบราว์เซอร์ (แบบเดียวกับ Flash) เรียกว่า Java applet

จุดที่เป็นปัญหาเรื่องความปลอดภัยคือ Java applet เนื่องจากมันไม่ต้องผ่านกระบวนการติดตั้ง (install) ตัวเองลงในเครื่องของผู้ใช้ เพียงแค่เอาเบราว์เซอร์ที่ติดตั้ง Java plug-in ไปเปิดเว็บที่ฝัง applet เอาไว้ก็ใช้งานได้แล้ว

ตามปกติแล้ว applet ทำงานได้เฉพาะบนเว็บเบราว์เซอร์เท่านั้น ระบบความปลอดภัยของ Java จะกรองไว้ไม่ให้ทำอะไรได้มากกว่านั้น (และเมื่อปิดหน้านั้นทิ้ง โปรแกรม applet ก็จะหายไปด้วย) แต่แฮ็กเกอร์ใช้ช่องโหว่ของ Java plug-in ช่วยให้ applet ประสงค์ร้ายมีอำนาจติดตั้งตัวเองลงในเครื่องได้ด้วย โดยที่ผู้ใช้ไม่รู้ตัว

วิธีการป้องกันตัวจึงเป็นการ "ปิดการทำงาน" ของ Java ในส่วนที่ 2 เฉพาะที่ทำงานบนเบราว์เซอร์ เพื่อป้องกันการติดมัลแวร์หรือโดนแฮ็กขณะที่เราท่องเน็ตอยู่นั่นเอง (หรือถ้าใครจะลบ Java ออกไปจากเครื่องเลย ก็สามารถทำได้ผ่านวิธี Uninstall ตามปกติ)

หมายเหตุ: Java เป็นคนละอย่างกับ JavaScript ไม่มีอะไรเหมือนกันเลยยกเว้นชื่อ

ตรวจสอบเวอร์ชันของ Java

อย่างแรกสุดที่ต้องทำคือ ตรวจสอบว่า Java ในเครื่องของเราเป็นเวอร์ชันล่าสุด (ที่ปิดช่องโหว่ต่างๆ ไปแล้ว) หรือไม่ โดยดูจากโปรแกรม Java Control Panel ที่ลงอยู่ในเครื่องของเราแล้ว

วิธีการเรียก Java Control Panel ต่างกันไปในแต่ละระบบปฏิบัติการ ดังนี้

  • Windows XP อยู่ใน Control Panel เป็นไอคอนชื่อ Java
  • Windows Vista/7 อยู่ใน Control Panel เป็นไอคอนชื่อ Java Control Panel หรือ Java
  • Windows 8 สามารถค้นหาได้จาก Start Screen หรือจะเรียกผ่าน Control Panel ก็ได้
  • Mac OS X อยู่ใน System Preferences

เมื่อเรียก Java Control Panel ขึ้นมาได้แล้ว จะเห็นหน้าจอดังภาพ

Java Control Panel

กดที่ปุ่ม About เพื่อดูเลขเวอร์ชันของ Java ที่ติดตั้งอยู่ในเครื่อง

ขณะที่เขียนบทความนี้ Java เวอร์ชันล่าสุดคือ 7u13 หรือ Java 7 Update 13 (สามารถตรวจสอบเลขเวอร์ชันล่าสุดได้จากเว็บไซต์ Java) ถ้าเวอร์ชันของเราเก่ากว่านี้ ให้ดาวน์โหลดเวอร์ชันล่าสุดมาติดตั้งก่อน

ปิดการทำงานของ Java บนเว็บเบราว์เซอร์ผ่าน Java Control Panel

เมื่อ Java ของเราเป็นเวอร์ชันล่าสุดแล้ว ให้เข้าไปที่ Java Control Panel อีกครั้ง แล้วเลือกแท็บ Security ดังภาพ

Disable Java

เอาเครื่องหมายถูกตรงคำว่า Enable Java content in the browser (จุดที่ล้อมไว้ด้วยสีแดง) ออก แล้วกด OK/Apply เป็นอันเสร็จพิธี (วินโดวส์รุ่นใหม่ๆ อาจต้องกดตกลงผ่าน UAC ด้วยอีกชั้นหนึ่ง)

ปิดการทำงานของเบราว์เซอร์ทุกตัว แล้วเปิดเว็บเบราว์เซอร์ใหม่ เข้าไปยังหน้า Verify Java Version เพื่อทดสอบว่าเบราว์เซอร์ของเรายังใช้งาน Java ได้หรือไม่ ถ้าพบกับคำว่า "We are unable to verify if Java is currently installed and enabled in your browser." (ตามภาพด้านล่าง) แปลว่าเบราว์เซอร์รัน Java ไม่ได้แล้ว ถือว่ากระบวนการปิด Java เสร็จสมบูรณ์

Verify Java

หมายเหตุ: วิธีการนี้ใช้ได้กับ Java 7u10 ขึ้นไปเท่านั้น

ข้อมูลอ้างอิงจาก Java.com: How do I disable Java in my web browser?

[ทางเลือก] ปิดการทำงานของ Java ในเบราว์เซอร์แต่ละตัว

ในกรณีที่ Java ไม่ได้เป็นเวอร์ชันล่าสุด และไม่ต้องการอัพเดต (ซึ่งไม่แนะนำ) เราสามารถสั่งปิด Java ได้เช่นกัน แต่จะลำบากหน่อยเพราะต้องไปไล่ปิดการทำงานของ Java plug-in ในเบราว์เซอร์แต่ละตัวเอง

Firefox

  • กดปุ่ม Firefox มุมบนซ้าย (ถ้าเป็นวินโดวส์) เลือก Add-ons
  • เลือกแท็บ Plugins
  • ถ้ามี Java อยู่ให้สั่ง Disable (ถ้าปุ่มเขียนว่า Enable แปลว่ามันปิดอยู่แล้ว ไม่ต้องทำอะไร)

ข้อมูลอ้างอิง: Mozilla Support

Chrome

  • พิมพ์ chrome://plugins ในช่อง URL
  • ถ้ามี Java อยู่ให้สั่ง Disable

ข้อมูลอ้างอิง: Chrome Help

Internet Explorer

  • คลิกที่ปุ่มรูปเฟืองของ IE (อยู่ด้านขวาสุดใน IE รุ่นใหม่ๆ)
  • เลือก Manage add-ons
  • หมวด Toolbars and Extensions
  • สั่งปิดการทำงานของ Java(tm) Plug-in ทุกตัว

IE Java

Safari

  • เข้าไปยังหน้า Preferences ของ Safari (ผ่านเมนู Safari)
  • เลือกแท็บ Security
  • เอาตัวเลือก Enable Java ออก

ข้อมูลอ้างอิง: Apple Support

Opera

  • พิมพ์ opera:plugins ในช่อง URL
  • สั่ง Disable รายการที่เกี่ยวข้องกับ Java
Get latest news from Blognone

Comments

By: jaideejung007
ContributorWindows PhoneWindows
on 16 February 2013 - 11:33 #541597
jaideejung007's picture

น่าจะมี Tools เน๊อะ คลิกเดียวจบ อิอิ

(ไม่ใช่อะไรหรอก มีหลายเบราว์เซอร์เกิน อิอิ)

By: playpotonjom
iPhoneAndroidUbuntuWindows
on 16 February 2013 - 11:42 #541599 Reply to:541597

ทำตามวิธีด้านบนก็ปิดหมดทุกเบราเซอร์อยู่แล้วนะครับ ลองอ่านดูดีๆ ครับ

By: SaMzAn
Windows PhoneWindows
on 16 February 2013 - 11:40 #541598
SaMzAn's picture

ขอบคุณสำหรับบทความดีๆครับ ผม่ไม่ค่อยรู้เรื่อง Java เท่าไหร่ พออ่านบทความนี้เข้าใจเรื่อง Java มากขึ้นเยอะ ตอนแรกที่ได้ยินข่าวรูรั่วบ่อยๆ ผมใช้วิธีบ้านๆ uninstall ออกจากเครื่องไปเลย หลังจากนั้นก็ไม่เคยติดตั้งอีก(เพราะเครื่องผมไม่มีโปรแกรมไหนจำเป็นต้องรัน Java เลยไม่รู้สึกเดือดร้อน)

แต่พอมาอ่านบทความนี้ เพิ่งมารู้ว่าตัวที่มีปัญหามันไม่ได้เป็น Java Application (ที่ลบไป) แต่เป็น Java Applet มันอยู่ที่ Browser ของเราตลอดเวลา Y_Y

By: pexza
AndroidUbuntuWindows
on 16 February 2013 - 11:49 #541603
pexza's picture

Firefox ในอุ๊ไม่มี Java รอดตัวไป

By: doanga2007
AndroidSymbianUbuntu
on 16 February 2013 - 11:52 #541604 Reply to:541603
doanga2007's picture

ปัจจุบันนี้ firefox และ midori ผม ใช้ชาเย็นแทน oracle java ครับ

By: mix5003
AndroidUbuntuWindows
on 16 February 2013 - 21:04 #541708 Reply to:541604

แล้วชาเย็นนี่ปลอดภัยรึเปล่าครับ รึว่าโดนเหมือนกัน เพราะมันก็จำลอง VM Java เหมือนกันอ่ะครับ

By: doanga2007
AndroidSymbianUbuntu
on 16 February 2013 - 21:23 #541713 Reply to:541708
doanga2007's picture

ชาเย็นถือว่าปลอดภัยครับ เพราะทาง redhat คุมเองครับ

By: ZeroEngine
ContributorRed HatSUSEUbuntu
on 17 February 2013 - 23:36 #541982 Reply to:541713

อะไรคือ ชาเย็นเหรอครับ


[Blog ZeroEngine] [@ZeroEngines]

By: mix5003
AndroidUbuntuWindows
on 18 February 2013 - 02:05 #542020 Reply to:541982

http://en.wikipedia.org/wiki/IcedTea

By: xenatt
ContributorWindows PhoneRed HatSymbian
on 18 February 2013 - 12:31 #542133 Reply to:541713
xenatt's picture

ทำไม Redhat ไม่ยอมทำ Update ให้ java บ้าง?


Opensource - Hackintosh - Graphic Design - Scriptkiddie - Xenlism Project

By: doanga2007
AndroidSymbianUbuntu
on 18 February 2013 - 16:28 #542213 Reply to:542133
doanga2007's picture

เพราะกลัวไปผัวพันกับ bug และเสี่ยงทำให้ redhat มีแต่ชื่อเสียอย่าง oracle ครับ

By: panurat2000
ContributorSymbianUbuntuIn Love
on 16 February 2013 - 17:27 #541673
panurat2000's picture

โปรแกรมที่ทำงานบนเดสก์ท็อป (ลักษระเดียวกับโปรแกรมทั่วไป)

ลักษระ => ลักษณะ

By: champjss
ContributorAndroidUbuntuWindows
on 16 February 2013 - 17:38 #541676
champjss's picture
เอาเครื่องหมายถูกตรงคำว่า Enable Java content in the browser (จุดที่ล้อมไว้ด้วยสีแดง) แล้วกด OK/Apply เป็นอันเสร็จพิธี

ตรงนี้ตกคำว่า ออก หรือเปล่าครับ

By: illuminator
ContributorAndroidUbuntuWindows
on 16 February 2013 - 18:27 #541680
illuminator's picture

ผมตั้ง Security Level เป็น High ซึ่งเวลา Browser รัน Applet มันจะขึ้นถามเราว่าให้รันไหม ผมไม่ทราบว่าการตั้งค่าแบบนี้ยังมีช่องโหว่ไหมครับ เพราะยังต้องใช้งาน Java อยู่ครับ

By: TeamKiller
ContributoriPhone
on 16 February 2013 - 21:52 #541718
TeamKiller's picture

ทำไม Chrome v.24 ใน OS X ผมบอก ในหน้า Verify Java Version

Chrome does not support Java 7. Java 7 runs only on 64-bit browsers and Chrome is a 32-bit browser.

If you download Java 7, you will not be able to run Java content in Chrome and will need to use a 64-bit browser (such as Safari or Firefox) to run Java content within a browser. Additionally, installing Java 7 will disable the ability to use Apple Java 6 on your system.

คือรันไม่ได้ ก็ปลอดภัยเลยเปล่าครับ

By: zotix
ContributoriPhoneAndroidWindows
on 20 February 2013 - 09:59 #543029 Reply to:541718

เพราะ Chrome ในแม็กมัน 32 bit ครับ มันใช้ได้แต่ safari

By: iamcmnut on 19 February 2013 - 00:39 #542389
iamcmnut's picture

หากจาว่ายังคงมีปัญหาแบบนี้อยู่มีโอกาสไหมที่หลายๆ องค์กรจะเปลี่ยนมาใช้ภาษาอื่นหรือ VM ตัวอื่นแทน

By: dunpum
UbuntuWindowsIn Love
on 20 February 2013 - 00:13 #542876
dunpum's picture

ดีกว่าใช้อูบุนตู

By: zotix
ContributoriPhoneAndroidWindows
on 20 February 2013 - 10:02 #543031

ตอนนี้ไป Update 15 แล้ว

By: canoe
Android
on 20 February 2013 - 23:25 #543402

หมายเหตุ: Java เป็นคนละอย่างกับ JavaScript ไม่มีอะไรเหมือนกันเลยยกเว้นชื่อ

แง่ววว ที่ผ่านมาไปปิด java script มาตลอด แสดงว่าไม่ได้ปลอดภัยเลยสิเนี่ย แถมชีวิตยุ่งยากขึ้นมากๆๆๆๆเลย - -"

By: kengpk
iPhone
on 27 March 2013 - 15:17 #557529

TopUp2Rich สร้างรายได้วันละ 4,200 บาท จากมือถือของคุณ

TopUp2Rich ล้ำหน้าด้วยเทคโนโลยีที่จะเปลี่ยนมือถือของคุณให้กลายเป็นเครื่องจักรทำเงิน

วิธีรับเงินง่าย ๆ
เพียงเปลี่ยน วิธีการเติมเงินมือถือ ของคุณ
มาใช้บริการกับ Topup2Rich

โดยเติมผ่าน โทรศัพท์มือถือทุกรุ่น, iPad, Notebook
หรือ Computer จะเติมเงินให้คุณเอง หรือเติมให้ใคร..ก็ได้
ใช้ได้กับมือถือทุกรุ่น ทุกยี่ห้อ ทุกระบบ ขอเพียงส่ง SMS ได้ก็พอ
เติมเงินมือถือ สะดวก ทุกที่ ทุกเวลา
เพราะคุณไม่ต้องเดินทาง 7-11 ไม่ต้องเดินหาตู้ ไม่ต้องเสียเวลาขูดบัตร

เพียงเติมเงินมือถือ เดือนละ 100 บาทขึ้นไป
สามารถสร้างรายได้หลักหมื่นหลักแสนต่อเดือน
สุดยอดแผนการตลาดของ Topup2rich แบ่งผลกำไรการเติมเงินทั้งหมดให้นักธุรกิจ
และรายได้การบริหารทีมอีกวันละ 4200 บาท

ธุรกิจของคนไทย ถูกกฏหมาย 100%

ดูรายละเอียดและวิธีการสมัครได้ที่
http://www.topup2rich.org/?id=kengpk
(หากกรอกข้อมูลไม่ได้ให้ใช้ Internet Explorer เปิดเว็บครับ)

ติดต่อสอบถามได้ที่ : 080-4697540 (คุณเก่ง ภายุภัค ไพศาลธนาทรัพย์)
อีเมล์ & MSN : topup2rich1@hotmail.com
ติดต่อได้ตลอด 24 ช.ม. ครับ