Wednesday, April 16, 2014

Java Runtime Environment 8 Update 5 ปิดช่องโหว่ความปลอดภัยที่สามารถใช้ยึดระบบได้

โอราเคิลออกอัพเดทประจำไตรมาส 2/2557 เพื่อแก้ปัญหาช่องโหว่ความปลอดภัยในซอฟต์แวร์ต่างๆ รวมถึงโปรแกรม Java Runtime Environment (JRE) โดยการอัพเดทครั้งนี้มีเป็นเวอร์ชัน JRE 7 Update 55 และ JRE 8 Update 5

JRE เป็นปลั๊ก-อินสำหรับใช้รันแอพพลิเคชันประเภท Java applet บนเว็บเบราเซอร์ แต่เนื่องจากมีช่องโหว่ในการทำงานค่อนข้างมาก และผู้ใช้ (ระบบ Windows) บางคนหรือส่วนใหญ่ไม่ทราบว่ามีโปรแกรมนี้อยู่บนเครื่องจึงไม่ได้ทำการอัพเดทให้เป็นเวอร์ชันใหม่ล่าสุด ส่งผลให้มันเป็นซอฟต์แวร์ที่เป็นเป้าหมายการโจมตีของแฮกเกอร์ในอันดับต้นๆ

ช่องโหว่ความปลอดภัยที่ได้รับการแก้ไขใน JRE 8 Update 5
สำหรับการอัพเดท JRE ประจำไตรมาส 2/2557 (ออกวันที่ 15 เดือนเมษายน 2557) เป็นการออก JRE 7 Update 55 (1.7.0_55-b14, "b" หมายถึง "build") และ JRE 8 Update 5 (1.8.0_5-b13) เพื่อปิดช่องโหว่ความปลอดภัยร้ายแรงจำนวน 37 จุด โดยที่ 35 จุดสามารถใช้เป็นช่องทางเพื่อบุกรุกเข้าระบบจากระยะไกลผ่านทางเครือข่ายโดยไม่ต้องตรวจสอบตัวตน (ไม่ต้องผ่านการตรวจสอบชื่อผู้ใช้และรหัสผ่าน) ได้

ทั้งนี้ ในกรณีที่การโจมตีประสบความสำเร็จผู้โจมตีจะสามารถเข้ายึดหรือควบคุมเครื่องคอมพิวเตอร์ได้อย่างสมบูรณ์โดยจะได้รับสิทธิ์ในระดับเดียวกับสิทธิ์ของผู้ใช้ที่กำลังล็อกอินเข้าระบบในขณะที่ถูกโจมตี ดังนั้นการล็อกอินด้วยผู้ใช้ธรรมดาจะมีผลกระทบน้อยกว่าผู้ใช้ที่เป็นผู้ดูแลระบบ

อ่านรายละเอียดเพิ่มเติมได้ที่ Oracle Critical Patch Update Advisory - April 2014

ซอฟต์แวร์ที่ได้รับผลกระทบ
  • JDK และ Java Runtime Environment 8
  • JDK และ Java Runtime Environment 7 Update 51 และเก่ากว่า
  • JDK และ Java Runtime Environment 6 Update 71 และเก่ากว่า
  • JDK และ Java Runtime Environment 5 Update 61 และเก่ากว่า

สำหรับ JavaFX นั้นได้ถูกรวมเข้าเป็นส่วนหนึ่งของ JDK ใน Java 7 Update 40

วิธีการป้องกันการโจมตีผ่านทางช่องโหว่ความปลอดภัยของ JRE
โอราเคิลแนะนำให้ผู้ใช้ JRE บนระบบปฏิบัติการ Windows, MAC และ Linux ดำเนินการดังนี้
Java Standard Edition 7 Update 55

Java Standard Edition 8 Update 5

ความเห็นผู้เขียน
ความเห็นส่วนตัว* ผมแนะนำให้ถอน JRE ออกจากเครื่องไปเลยเพื่อความปลอดภัย แต่สำหรับผู้ที่ยังจำเป็นต้องใช้โปรแกรมตัวนี้ก็แนะนำให้ทำการอัพเดทมันให้เป็นเวอร์ชันล่าสุดอยู่เสมอครับ

*ผมเองได้ทำการถอน JRE ออกจากเครื่องไปนานแล้วซึ่งผลปรากฏว่าไม่มีผลใดๆ กับการใช้งานคอมพิวเตอร์ (ระบบ Windows) ประจำวัน โดยยังสามารถท่องอินเทอร์เน็ตหรือการใช้งานโปรแกรมต่างๆ ได้ตามปกติ

หมายเหตุ: การถอนโปรแกรม JRE บน Windows ทำได้จาก Control Panel ครับ

แหล่งข้อมูลอ้างอิง
April 2014 Critical Patch Update Released
Java Runtime Environment, Standard Edition (JRE) 8 Update 5: Release Notes

Copyright © 2014 TWA Blog. All Rights Reserved.

0 Comment: