ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java

แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)

ผู้เชี่ยวชาญด้านความปลอดภัย Eric Romang พบช่องโหว่ใหม่ของ Java ที่เกี่ยวข้องกับใบรับรองดิจิทัล (digital certification)

ตามปกติแล้ว แอพเพล็ต Java ที่ถูก sign ด้วยใบรับรองดิจิทัลจะถูกมองว่าเชื่อถือได้ และสามารถทำงานได้ทันที (โดยผู้ใช้ไม่ต้องกดยินยอมก่อน) ในระดับความปลอดภัยแบบ High ซึ่งเป็นค่าดีฟอลต์ของ Java SE อยู่แล้ว

Red Hat ประกาศรับช่วงบทบาทการเป็นผู้นำโครงการ OpenJDK 6 ต่อจากออราเคิล หลังจากออราเคิลหยุดสนับสนุน Java 6 อย่างเป็นทางการเมื่อช่วงสิ้นเดือนกุมภาพันธ์ที่ผ่านมา

Red Hat อธิบายว่าหน่วยงานจำนวนมากยังใช้ Java 6 อยู่ (โดยเฉพาะลูกค้า JBoss ของบริษัทเอง) และต้องการสนับสนุน Java 6 ต่อไปผ่านโครงการ OpenJDK ที่เป็นโอเพนซอร์ส (Red Hat มีส่วนกับ OpenJDK มานานแล้ว แต่ไม่ได้เป็นผู้นำโครงการ)

ที่มา - Red Hat

ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว

ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที

Adam Gowdiak นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ประกาศว่าค้นพบช่องโหว่ใหม่อีก 2 จุด ซึ่งใช้ได้กับ Java SE 7 Update 15 รุ่นล่าสุดในปัจจุบัน (ไม่มีผลกับ Java 6)

ช่องโหว่ 2 จุดนี้คล้ายกับช่องโหว่ชุดก่อนๆ หน้านี้ นั่นคือสามารถลัดระบบความปลอดภัย sandbox ของ Java ได้

Gowdiak ส่งข้อมูลของช่องโหว่ไปยังออราเคิลตามธรรมเนียมของวงการ ปัญหาคือออราเคิลยอมรับว่าเป็นช่องโหว่จริงเพียงจุดเดียวเท่านั้น ส่วนอีกจุดหนึ่งออราเคิลระบุว่าเป็น "พฤติกรรมที่อนุญาตอยู่แล้ว" (allowed behavior) ไม่ถือเป็นช่องโหว่ด้านความปลอดภัยแต่อย่างใด

ปัญหาความปลอดภัยที่เกิดจากช่องโหว่ของ Java กลายเป็นเรื่องซีเรียส เราเห็นข่าวการโจมตีด้วยช่องโหว่ของ Java เป็นวงกว้าง และขนาดบริษัทไอทีรายใหญ่ทั้ง Twitter และ Facebook ก็ยังไม่รอด ต่างก็โดนแฮ็กเพราะ Java ในเครื่องของพนักงาน

บทความนี้จึงเขียนขึ้นเพื่อสอนวิธีป้องกันตัวจากการโจมตีผ่านช่องโหว่ของ Java ที่อาจติดตั้งอยู่ในเครื่องของผู้อ่านอยู่แล้ว โดยเน้นผู้อ่านกลุ่ม end-user ที่อาจไม่ทราบข้อมูลเรื่อง Java มากนัก

Facebook ประกาศว่าตัวเองโดนแฮ็กเมื่อเดือนมกราคมที่ผ่านมา โดยเกิดจากพนักงานของ Facebook จำนวนหนึ่งเข้าชมเว็บไซต์สำหรับนักพัฒนาแห่งหนึ่งที่ถูกแฮ็กมาก่อน เว็บไซต์แห่งนี้ฝังมัลแวร์ลงบนคอมพิวเตอร์ของพนักงาน ซึ่งส่งข้อมูลกลับไปยังเซิร์ฟเวอร์ของผู้ประสงค์ร้าย

อย่างไรก็ตามความเสียหายยังจำกัดแค่เครื่องคอมพิวเตอร์ของพนักงานเท่านั้น ไม่กระทบกับข้อมูลของผู้ใช้แต่อย่างใด

จากข่าว ออราเคิลออกแพตช์ความปลอดภัย Java รอบเดือนกุมภาพันธ์ 2013 ทางออราเคิลออกมาชี้แจงว่า การอัพเดตแพตช์รอบก่อนรีบออกเพื่อแก้ปัญหาความปลอดภัยเร่งด่วน ทำให้ยังปิดช่องโหว่อื่นๆ ไม่ครบ และจะออกแพตช์รอบใหม่ในวันที่ 19 กุมภาพันธ์นี้

ออราเคิลยังไม่แจ้งว่าช่องโหว่ที่จะแก้ไขในรอบ 19 กุมภาพันธ์มีอะไรบ้าง แต่ก็บอกว่าผู้ใช้หรือหน่วยงานที่ไม่ได้อัพเดตรอบก่อน สามารถรออัพเดตรอบ 19 กุมภาพันธ์ได้ทีเดียวเลยครับ

ที่มา - Oracle

หลังจากประสบปัญหาเรื่องความปลอดภัยอย่างต่อเนื่อง ออราเคิลก็ตัดสินใจออกแพตช์ความปลอดภัยของ Java SE ประจำเดือนกุมภาพันธ์ให้เร็วกว่าเดิม จากเดิมที่มีกำหนดออกวันที่ 19 กุมภาพันธ์ ก็เปลี่ยนมาออกตั้งแต่วันที่ 1 กุมภาพันธ์แทน

แพตช์ชุดนี้มีชื่ออย่างเป็ฯทางการว่า Critical Patch Update for Java SE – February 2013 ใช้กับ Java 5u38, 6u38, 7u11 ขึ้นไป รวมถึง JavaFX 2.2.4 ด้วย โดยตัวเลขเวอร์ชันของอัพเดตนี้จะกลายเป็น 6u39, 7u13 และ JavaFX 2.2.5 ครับ