Trend Micro ออกมาประกาศช่องโหว่ใหม่ของ Java 8 ที่ยังไม่มีแพตช์แก้ไข ซึ่งถือเป็นช่องโหว่แบบ zero-day ตัวแรกในรอบ 2 ปีของ Java ด้วย

การค้นพบช่องโหว่ Java ครั้งนี้ไม่เกี่ยวอะไรกับเอกสารของ Hacking Team ที่เผยช่องโหว่ Flash แต่เกิดจากการจับตาปฏิบัติการเจาะระบบชื่อ Operation Pawn Storm ที่เริ่มมาตั้งแต่เดือนเมษายน 2015 และมุ่งเป้าเจาะระบบของหน่วยงานด้านความมั่นคงของสหรัฐอย่างทำเนียบขาว-นาโต้

ทีมเฝ้าระวังของ Trend Micro ตรวจพบว่า URL ที่ฝ่ายแฮ็กเกอร์ Pawn Storm เคยใช้งานมีการเปลี่ยนแปลงเนื้อหาของเว็บเพจในภายหลัง และเนื้อหาในเพจเหล่านี้เตรียมไว้สำหรับเจาะระบบผ่านช่องโหว่ของ Java ที่ยังไม่เคยถูกเปิดเผยมาก่อน

Trend Micro ระบุว่าช่องโหว่นี้มีผลเฉพาะกับ Java 8 เท่านั้น (1.8.0.45 ตัวล่าสุดก็โดน) ส่วน Java 6/7 ไม่มีผลจากช่องโหว่นี้ ตอนนี้ออราเคิลรับทราบปัญหาแล้ว ระหว่างที่รอแพตช์คงต้องปิดการทำงานของ Java กันไปก่อนครับ

ที่มา - Trend Micro