ช่องโหว่ Java ล่าสุด รันคำสั่งได้โดยไม่ต้องล็อกอิน

Waratek บริษัทด้านความปลอดภัยระบบแอพพลิเคชันชั้นนำของสหราชอาณาจักร ได้ออกมาแจ้งเตือนเรื่องการอัพเดทแพทช์ล่าสุดของ Java ทั้ง JRE และ JDK เนื่องจาก 14 ช่องโหว่ใหม่ล่าสุดที่เพิ่งประกาศออกมาในสัปดาห์นี้ ช่วยให้แฮ็คเกอร์สามารถโจมตีเข้ามายังระบบเครือข่ายโดยไม่ต้องพิสูจน์ตัวตนก่อนได้

ส่งผลกระทบต่อ Java แทบทุกเวอร์ชัน

แฮ็คเกอร์สามารถโจมตีผ่านทางช่องโหว่ Java ล่าสุดโดยไม่จำเป็นต้องใช้ ชื่อผู้ใช้และรหัสผ่าน ก็สามารถเข้าถึงหรือควบคุมแอพพลิเคชันเป้าหมายได้ ซึ่งช่องโหว่นี้ส่งผลกระทบต่อแอพพลิเคชันที่ใช้งาน JRE/JDK เวอร์ชัน 5, 6, 7 และ 8 ที่ไม่ได้อัพเดทแพทช์ล่าสุด

จบการให้บริการ Java เวอร์ชัน 7

สำหรับแอพพลิเคชันที่ใช้ Java เวอร์ชัน 7 แพทช์นี้จะเป็นแพทช์ความปลอดภัยสุดท้ายที่ออกโดย Oracle เนื่องจากทางบริษัทต้นสังกัดได้ประกาศ “End of the road” สำหรับเวอร์ชันนี้เป็นที่เรียบร้อยแล้ว หลังจากวันนี้ แพลทฟอร์ม Java ที่จะได้รับบริการแพทช์ด้านความปลอดภัยจะมีเพียงแค่ Java 8 อย่างเดียวเท่านั้น ซึ่งประเด็นนี้อาจส่งผลกระทบใหญ่หลวงกับหลายล้านแอพพลิเคชันทั่วโลก

แอพพลิเคชันที่ไม่ได้ใช้ Java 8 มี 2 ทางเลือก ทางเลือกแรก คือ เตรียมอัพเกรด ทดสอบ และติดตั้ง Java SE 8 เวอร์ชันล่าสุดแทน หรืออีกทางเลือกหนึ่ง คือ ใช้งาน Java Container RASP (Runtime Application Self-Protection) ซึ่งช่วยป้องกันแพลทฟอร์ม Java จากช่องโหว่และภัยคุกคามต่างๆได้

ที่มา: http://www.net-security.org/secworld.php?id=18222