فيديو: اÙÙضاء - عÙÙ٠اÙÙÙÙ ÙÙÙر٠اÙØاد٠ÙاÙعشرÙÙ (شهر نوفمبر 2024)
أصدرت شركة Oracle تحديثًا طارئًا لإغلاق خطأ أمان خطير في Java والذي كان يستخدمه بالفعل المهاجمون لاقتحام أجهزة كمبيوتر المستخدمين.
وقالت أوراكل في تقريرها الأمني الصادر في 13 كانون الثاني / يناير إن التصحيح خارج النطاق يعالج الثغرة الحرجة المكتشفة مؤخراً في Java 7 من Oracle ، حيث يستغل المهاجم آخر ثغرة عن طريق خداع المستخدمين إلى زيارة موقع ويب يشغل برنامجًا ضارًا. يُنصح المستخدمون بالتحديث الفوري لـ Java 7 Update 11.
يعمل Java 7 Update 11 على تخفيف كل من CVE-2013-0422 (أحدث ثغرة أمنية) وكذلك CVE-2012-3174 ، وهو خطأ أقدم في تنفيذ التعليمات البرمجية عن بُعد يرجع تاريخه إلى يونيو الماضي. حصل كلا العيبان على تصنيف نظام نقاط الضعف المشترك وهو 10 ، وهي أقصى درجة ممكنة في هذا المقياس. في هذا التصحيح ، أغلقت شركة Oracle الخلل وغيرت أيضًا كيفية تفاعل Java مع تطبيقات الويب.
وقال أوراكل في الاستشاري: "لقد ارتفع مستوى الأمان الافتراضي لتطبيقات جافا وتطبيقات بدء الويب من" متوسط "إلى" مرتفع ".
هذا يعني أنه سيتم مطالبة المستخدم دائمًا قبل تشغيل تطبيق Java غير موقّع أو تطبيق Web Start. في السابق ، تم تشغيل تطبيقات Java وتطبيقاتها تلقائيًا ، حيث تم تثبيت أحدث إصدار من Java للمستخدمين. مع إعداد "عالي" ، يتم تحذير المستخدم دائمًا قبل تشغيل أي تطبيق غير موقع حتى لا يتمكن المهاجمون من شن هجمات صامتة ، على حد قول Oracle.
خارج النطاق التصحيح
تصحيح الطوارئ من Oracle غير عادي. عادةً ما تقوم الشركة بتصحيح برنامج Java على دورة فصلية ، لكن من المحتمل أن تصدر هذا الإصلاح خارج النطاق لأن كود الهجوم الذي يستغل هذه الثغرة الأمنية قد تمت إضافته بالفعل إلى عدة مجموعات استغلال شائعة ، بما في ذلك "Blackhole" و "NuclearPack". تسهل أدوات Crimware على المجرمين إصابة أجهزة الكمبيوتر بالبرامج الضارة والاستيلاء على الأجهزة لأغراضهم الشائنة. كشف الباحثون بالفعل عن مواقع الويب التي تقوم بتشغيل الشفرة ، على الرغم من أنه من غير المعروف في الوقت الحالي عدد المستخدمين الذين تم اختراقهم بالفعل.
كانت شركة أوراكل قد أصدرت سابقًا رقعة خارج النطاق في الخريف الماضي بعد أن اكتشف الباحثون عيبًا مماثلًا في التنفيذ عن بُعد.
يؤثر على Java في متصفحات الويب ، وليس سطح المكتب
من المهم أن تتذكر أن اثنين من الثغرات الأمنية في تنفيذ التعليمات البرمجية عن بُعد التي تم إصلاحها في هذا التحديث "تنطبق فقط على Java في متصفحات الويب لأنها قابلة للاستغلال من خلال تطبيقات المتصفح الخبيثة" ، كتب إريك موريس ، مدير ضمان أمان برامج Oracle على مدونة Oracle Software Security Assurance. إذا لم تقم بالوصول إلى مواقع الويب التي تشغل Java بانتظام ، فإن الأمر يستحق تعطيل المكون الإضافي Java في متصفحك. فيما يلي إرشادات خطوة بخطوة حول كيفية تعطيل Java من Neil Rubenking الخاص بـ SecurityWatch.
تستخدم العديد من تطبيقات سطح المكتب والألعاب الشائعة (Minecraft ، أي شخص؟) Java ، لكن عميل Java المحلي لا يتعرض للهجوم.
وكتب موريس: "لا تؤثر نقاط الضعف هذه على Java على الخوادم أو تطبيقات سطح مكتب Java أو Java المضمّن".