Credit: Maksim Kabakou/ShutterStock

ช่องโหว่ Java ล่าสุด รันคำสั่งได้โดยไม่ต้องล็อกอิน

Waratek บริษัทด้านความปลอดภัยระบบแอพพลิเคชันชั้นนำของสหราชอาณาจักร ได้ออกมาแจ้งเตือนเรื่องการอัพเดทแพทช์ล่าสุดของ Java ทั้ง JRE และ JDK เนื่องจาก 14 ช่องโหว่ใหม่ล่าสุดที่เพิ่งประกาศออกมาในสัปดาห์นี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีเข้ามายังระบบเครือข่ายโดยไม่ต้องพิสูจน์ตัวตนก่อนได้

ส่งผลกระทบต่อ Java แทบทุกเวอร์ชัน

แฮ็คเกอร์สามารถโจมตีผ่านทางช่องโหว่ Java ล่าสุดโดยไม่จำเป็นต้องใช้ ชื่อผู้ใช้และรหัสผ่าน ก็สามารถเข้าถึงหรือควบคุมแอพพลิเคชันเป้าหมายได้ ซึ่งช่องโหว่นี้ส่งผลกระทบต่อแอพพลิเคชันที่ใช้งาน JRE/JDK เวอร์ชัน 5, 6, 7 และ 8 ที่ไม่ได้อัพเดทแพทช์ล่าสุด

จบการให้บริการ Java เวอร์ชัน 7

สำหรับแอพพลิเคชันที่ใช้ Java เวอร์ชัน 7 แพทช์นี้จะเป็นแพทช์ความปลอดภัยสุดท้ายที่ออกโดย Oracle เนื่องจากทางบริษัทต้นสังกัดได้ประกาศ “End of the road” สำหรับเวอร์ชันนี้เป็นที่เรียบร้อยแล้ว หลังจากวันนี้ แพลทฟอร์ม Java ที่จะได้รับบริการแพทช์ด้านความปลอดภัยจะมีเพียงแค่ Java 8 อย่างเดียวเท่านั้น ซึ่งประเด็นนี้อาจส่งผลกระทบใหญ่หลวงกับหลายล้านแอพพลิเคชันทั่วโลก

แอพพลิเคชันที่ไม่ได้ใช้ Java 8 มี 2 ทางเลือก ทางเลือกแรก คือ เตรียมอัพเกรด ทดสอบ และติดตั้ง Java SE 8 เวอร์ชันล่าสุดแทน หรืออีกทางเลือกหนึ่ง คือ ใช้งาน Java Container RASP (Runtime Application Self-Protection) ซึ่งช่วยป้องกันแพลทฟอร์ม Java จากช่องโหว่และภัยคุกคามต่างๆได้

ที่มา: http://www.net-security.org/secworld.php?id=18222

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tenable จับมือ Anthropic เข้าร่วม “Project Glasswing” ยกระดับการป้องกันไซเบอร์ในยุค AI [Guest Post]

การเข้าร่วม Project Glasswing และการได้ร่วมทำงานกับ Claude Mythos Preview ในครั้งนี้ จะช่วยให้ Tenable สามารถสนับสนุนลูกค้าให้เข้าใจพฤติกรรมของโมเดล AI ระดับแนวหน้า (Frontier AI) …

Amazon เตรียมปลดระวาง Mechanical Turk ไม่รับผู้ใช้งานเพิ่มแล้ว

Amazon Web Services (AWS) ได้ยุติการรับลูกค้าใหม่สำหรับบริการที่มีอายุเก่าแก่หลายทศวรรษอย่าง Mechanical Turk เป็นที่เรียบร้อยแล้ว ซึ่งนับเป็นสัญญาณเตือนถึงจุดสิ้นสุดของแพลตฟอร์มตลาดแรงงานแบบคราวด์ซอร์สรุ่นบุกเบิกนี้