شماره: IRCNE2013021746
تاريخ: 16/11/91
روز جمعه اوراكل يك بهروز رساني حياتي براي Java SE عرضه كرد كه يك اصلاحيه خارج از نوبت براي دفع سوء استفادههايي كه Java Runtime Environment را در مرورگرهاي دسكتاپ تحت تأثير قرار ميدهند ميباشد.
اين اصلاحيه حياتي كه قرار بود روز 19 فوريه عرضه گردد، شامل ترميمهايي براي 50 آسيبپذيري است. جاوا اخيراً به دليل مسائل امنيتي كه بهطور خاص مرورگرها را تحت تأثير قرار ميدهند، هدف حمله قرار گرفته است. اوراكل روز جمعه در بولتن خود نوشت: «شهرت Java Runtime Environment در مرورگرهاي دسكتاپ و اين واقعيت كه جاوا در مرورگرها مستقل از سيستم عامل است، جاوا را به هدفي جذاب براي هكرهاي خرابكار تبديل ميكند».
44 آسيبپذيري از اين مجموعه، جاوا را در مرورگرهاي اينترنتي تحت تأثير قرار ميدهند. به گفته اوراكل، به عبارت ديگر، اين آسيبپذيريها فقط در كامپيوترهاي دسكتاپ و از طريق برنامههاي Java Web Start يا اپلتهاي جاوا ميتوانند مورد سوء استفاده قرار گيرند. بهعلاوه، يك آسيبپذيري نيز پروسه نصب كلاينت جاوا (يعني نصب Java Runtime Environment بر روي كامپيوتر دسكتاپ) را تحت تأثير قرار ميدهد. توجه داشته باشيد كه اين اصلاحيه حياتي شامل ترميمهايي كه پيشتر از طريق هشدار امنيتي CVE-2013-0422 منتشر شده بودند نيز ميباشد.
علاوه بر اينها، سه آسيبپذيري هر دو نسخه كلاينت و سرور جاوا را تحت تأثير قرار ميدهند. به اين ترتيب اين آسيبپذيريها ميتوانند بر روي سيستمهاي دسكتاپ از طريق Java Web Start يا اپلتهاي جاوا و بر روي سرورها از طريق اعمال ورودي خرابكار به API ها در اجزاي آسيبپذير مورد سوء استفاده قرار گيرند. «در برخي موارد سناريوي سوء استفاده از اين نوع نقايص امنيتي بر روي سرورها بسيار غيرمحتمل است. براي مثال، يكي از اين آسيبپذيريها فقط بر روي سروري مورد سوء استفاده قرار ميگيرد كه مجوز پردازش فايلهاي تصويري از يك منبع نامطمئن را صادر نمايد.» به گفته اوراكل، دو آسيبپذيري ترميم شده در اين بهروز رساني فقط بر روي نسخه سرور Java Secure Socket Extension اعمال ميگردند، ولي اغلب آسيبپذيريهاي ترميم شده در اين اصلاحيه، نسخههاي كلاينت جاوا و JavaFX را تحت تأثير قرار ميدهند. «اين نشان دهنده اين واقعيت است كه Java server environment امنتر از Java Runtime Environment در مرورگرها است، چرا كه سرورها در يك محيط امنتر و كنترل شدهتر كار ميكنند.»
- 2