พบช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว

By: mk
FounderAndroid
on 11 January 2013 - 11:58 Tags:
Topics: 
Java
Security
Node Thumbnail

US-CERT หน่วยงานด้านความปลอดภัยของรัฐบาลสหรัฐ แจ้งเตือนช่องโหว่ระดับ critical ที่ค้นพบใหม่บน Java 7 Update 10 หรือรุ่นที่เก่ากว่า ช่องโหว่นี้ช่วยให้แฮ็กเกอร์เข้ามารันโค้ดประสงค์ร้ายบนเครื่องของผู้ใช้ได้

ปัญหานี้เกิดกับปลั๊กอิน JRE โดยเป็นช่องโหว่ของระบบ Security Manager ของ JRE เอง ตอนนี้ออราเคิลยังไม่ออกแพตช์แก้ไข วิธีป้องกันตัวมีเพียงปิดการใช้งาน Java บนเว็บเบราว์เซอร์ไปก่อนชั่วคราว

ผู้เชี่ยวชาญความปลอดภัย Kaspersky Labs ให้ข้อมูลเพิ่มเติมว่าตอนนี้เริ่มพบมัลแวร์ที่ใช้ช่องโหว่นี้ อยู่บนเว็บไซต์หลายแห่งแล้ว

ที่มา - US CERT, Secure List, Ars Technica

Get latest news from Blognone

Comments

By: mr_tawan
ContributoriPhoneAndroidWindows
on 11 January 2013 - 12:06 #528077
mr_tawan's picture

เบื่อข่าวนี้แล้ว... หลายรอบเกิ้น

  • 9tawan.net บล็อกส่วนตัวฮับ
By: xenogew
ContributorAndroidWindows
on 11 January 2013 - 12:20 #528091
xenogew's picture

ก่อนหน้านี้ไม่ค่อยเห็นข่าวแบบนี้กับ Java เลย เป็นเพราะมันไปอยู่ในมือ Oracle หรือว่ามีคนอยากจะเจาะ Java เพิ่มขึ้นกันแน่เนี่ย

By: In2theBlue
AndroidWindows
on 11 January 2013 - 20:18 #528279 Reply to:528091
In2theBlue's picture

+1
ไม่รู้จงใจ หรือ เพลอเรอ

By: Architec
ContributorWindows PhoneAndroidWindows
on 11 January 2013 - 20:24 #528282 Reply to:528091

ตั้งแต่ลาจากศาสดามาอยู่กับพี่แกทำตัวเป็นปฏิปักษ์กับชาว OSS ก็เลยน่าหมั่นไส้

By: tearfire on 11 January 2013 - 12:24 #528092
tearfire's picture

เจอแบบนี้บ่อยๆเข้า java ไม่ตายก็ให้มันรู้ไปซิ ^^

By: khajochi
WriteriPhoneIn Love
on 11 January 2013 - 12:53 #528101
khajochi's picture

เรากำลังจะเข้าใจว่าช่องโหว่ใน Java, Flash กลายเป็นเรื่องปกติไปแล้วหรือนี่ =_=

แฟนพันธุ์แท้สตีฟจ็อบส์ | MacThai.com

By: tontan
ContributorAndroidSymbianUbuntu
on 11 January 2013 - 12:59 #528112 Reply to:528101
tontan's picture

+1 นักพัฒนา+ผู้ใช้ พากันร้องว่า "อีกแล้วหรอJava!"

บล็อก: wannaphong.com และ Python 3

By: nextman13
AndroidBlackberryUbuntuWindows
on 11 January 2013 - 12:53 #528102

เป็นการบอกให้รู้ว่าการใช้ java เป็น plugins ใน browser มันไม่ดี ให้หันไปใช้แบบธรรมดาดีกว่า เช่น swing app , หรือไม่ก็แบบ web app ที่ไม่ต้องเป็นแบบ Applet จะปลอดภัยกว่า เหมือนอย่างผมไม่เคยที่จะติดตั้ง java ลงเครื่องแบบถาวร แต่ใช้วิธีการติดตั้งลงเครื่องก่อน แล้ว copy ตัวโฟลด์เดอร์ jdk หรือ jre เก็บไว้ใช้แบบ portable แทน แล้ว uninstall ออก ไม่ต้องให้ java regis ลงใน OS

By: massacre
AndroidUbuntu
on 11 January 2013 - 12:53 #528103

ผมสงสัยว่าเกิดปัญหาเฉพาะ windows, osx หรือ linux หรือทุก os ครับ

By: tekkasit
ContributorAndroidWindowsIn Love
on 11 January 2013 - 13:19 #528121 Reply to:528103
tekkasit's picture

ทุกตัวโดนได้หมดครับ เท่าที่อ่านเป็นการหาทางได้สิทธิ์ระดับสูงกว่าระดับปกติ โดยการกำจัด SecurityManager ตัวปกติออก พอ SecurityManager ไม่อยู่ โค้ดก็ร่าเริง ทำอะไรก็ได้ สามารถอ่านเขียนไฟล์บนเครื่องได้, ติดต่อ เครื่องแม่ข่ายใดๆก็ได้, ฯลฯ

ตอนนี้ก็แนะนำคือ

  • ถ้าไม่จำเป็นต้องใช้จาวาเลยก็ถอดถอนออกไปจากเครื่องเลย หรือ
  • แต่ถ้าต้องใช้อยู่แต่ไม่ได้ใช้งานในเว็บเบราเซอร์ก็อัพเดทเป็น Java 7 Update 10 มันจะอนุญาตให้ปิดการทำงานของ Java บนเว็บเบราเซอร์ทุกตัวในเครื่อง (ไม่ต้องคอยไปไล่ปิดแต่ละเบราเซอร์) ผลข้างเคียงก็คือ Java Applet ก็พลอยใช้งานไม่ได้ด้วย (ซึ่งจะแก้อย่างยั่งยืนก็ต้องรอตัวอัพเดทจาก Oracle ครับ)
By: Be1con
ContributorWindows PhoneWindowsIn Love
on 11 January 2013 - 12:59 #528111
Be1con's picture

อย่าลืมครับ จาวาเร็วส์

Coder | Designer | Thinker | Blogger

By: lew
FounderJusci's WriterMEconomicsAndroid
on 11 January 2013 - 14:56 #528157 Reply to:528111
lew's picture

อาจจะต้องเรียนรู้คอมเมนต์ให้อยู่ในเนื้อหาข่าวมากกว่านี้นะครับ

ถ้ามีความไม่ชอบส่วนตัวอยากตามประชด ใช้พื้นที่ใน social network ของตัวเองน่าจะเหมาะกว่า

lewcpe.com, @wasonliw

By: hoolala
Android
on 11 January 2013 - 14:04 #528135

สอบถามผู้รู้หน่อยครับว่า ถ้าเราเปิดเบราเซอร์ใน VMware หรือ VirtualBox แล้วเกิดไปเข้าเวบที่มีมัลแวร์ตัวนี้เข้า เครื่อง host จะเป็นอะไรมั๊ยครับ

By: tontan
ContributorAndroidSymbianUbuntu
on 11 January 2013 - 14:32 #528146 Reply to:528135
tontan's picture

ไม่เป็นไรครับ เพราะมัลแวร์จะติดเฉพาะใน VMware หรือ VirtualBox ครับไม่แพร่ออกมาครับ
ใครอยากลองติดมัลแวร์ตัวนี้แนะนำให้ลองในVirtualBox อย่าลองกับเครื่องจริงครับ :)

บล็อก: wannaphong.com และ Python 3

By: hoolala
Android
on 11 January 2013 - 16:30 #528210 Reply to:528146

ขอบคุณครับผม

By: nostalgias
ContributoriPhoneAndroid
on 11 January 2013 - 16:13 #528198
nostalgias's picture

เพลีย - -

By: zendz
iPhone
on 11 January 2013 - 18:19 #528238

แปลกตรงที่ ตั้งแต่ java อยู่ในมือของ Oracle มีแต่ช่องโหว่ร้ายแรงทั้งนั้น