شماره: IRCNE2011101293
تاريخ: 28/7/90
اوراكل يك به روز رساني امنيتي جديد براي جاوا عرضه كرده است تا چندين آسيب پذيري را برطرف نمايد. اين به روز رساني شامل يك آسيب پذيري كه اخيرا در يك حمله مورد سوء استفاده قرار گرفته بود و اجازه شنود بر روي ارتباطات رمز شده را صادر ميكند نيز ميگردد.
ماه گذشته در كنفرانس امنيتي اكوپارتي در بوينس آيرس، دو محقق امنيتي يك روش عملي براي مداخله در ترافيك SSL و TLS را به نمايش گذاشتند. اين حمله man-in-the-middle كه BEAST نام گرفته است، از يك مساله شناخته شده در بيشتر پياده سازيهاي SSL و TLS كه در حال حاضر در اينترنت مورد استفاده قرار ميگيرد، استفاده ميكند. اين دو محقق براي انجام اين حمله، با سوء استفاده از يك آسيب پذيري در پلاگين جاوا، از سياست same-origin مرورگر (يك مكانيزم امنيتي كه از تداخل كار وب سايتهاي مختلف كه به طور همزمان باز هستند جلوگيري ميكند) عبور كردند. اين آسيب پذيري كه با عنوان CVE-2011-3389 شناخته ميشود، باعث شد كه توليدكنندگان فايرفاكس تصميم بگيرند كه جاوا را در مرورگر خود مسدود نمايند. البته توليدكنندگان مختلف در اين زمينه به توافق نرسيدند، چرا كه انجام چنين كاري بسياري از برنامه ها را از كار مي اندازد.
ساير آسيب پذيريها كه در اين به روز رساني جاوا ترميم شده اند بسيار خطرناكتر هستند، از جمله پنج نقص امنيتي در اجزاء مختلف كه منجر به اجراي كد دلخواه ميگردند. يك مساله ديگر مرتبط با SSL/TLS نيز كه بر روي sandbox برنامه جاوا تاثير ميگذارد و يك نقص آلوده سازي DNS cache نيز برطرف شده اند.
تا كنون هيچ گزارشي مبني بر مشاهده حملات BEAST ارائه نشده است، اما اين مساله ممكن است در آينده تغيير نمايد، بنابراين به كاربران توصيه ميشود كه اين به روز رساني را هرچه سريعتر نصب كنند. در حقيقت از آنجاييكه جاوا يكي از پلاگينهاي مرورگر است كه بيشتر مورد حمله قرار ميگيرد، به روز رساني آن بايد در اولويت قرار بگيرد.
مطالب مرتبط:
مرورگرها عليه مشكل امنيتي BEAST
وعده مايكروسافت براي به روز رساني ويندوز
- 5