به‌روزرسانی مهم اوراكل برای جاوا

شماره: IRCNE2011101293
تاريخ: 28/7/90

اوراكل يك به روز رساني امنيتي جديد براي جاوا عرضه كرده است تا چندين آسيب پذيري را برطرف نمايد. اين به روز رساني شامل يك آسيب پذيري كه اخيرا در يك حمله مورد سوء استفاده قرار گرفته بود و اجازه شنود بر روي ارتباطات رمز شده را صادر مي­كند نيز مي­گردد.
ماه گذشته در كنفرانس امنيتي اكوپارتي در بوينس آيرس، دو محقق امنيتي يك روش عملي براي مداخله در ترافيك SSL و TLS را به نمايش گذاشتند. اين حمله man-in-the-middle كه BEAST نام گرفته است، از يك مساله شناخته شده در بيشتر پياده سازي­هاي SSL و TLS كه در حال حاضر در اينترنت مورد استفاده قرار مي­گيرد، استفاده مي­كند. اين دو محقق براي انجام اين حمله، با سوء استفاده از يك آسيب پذيري در پلاگين جاوا، از سياست same-origin مرورگر (يك مكانيزم امنيتي كه از تداخل كار وب سايت­هاي مختلف كه به طور همزمان باز هستند جلوگيري مي­كند) عبور كردند. اين آسيب پذيري كه با عنوان CVE-2011-3389 شناخته مي­شود، باعث شد كه توليدكنندگان فايرفاكس تصميم بگيرند كه جاوا را در مرورگر خود مسدود نمايند. البته توليدكنندگان مختلف در اين زمينه به توافق نرسيدند، چرا كه انجام چنين كاري بسياري از برنامه ها را از كار مي اندازد.
ساير آسيب پذيري­ها كه در اين به روز رساني جاوا ترميم شده اند بسيار خطرناك­تر هستند، از جمله پنج نقص امنيتي در اجزاء مختلف كه منجر به اجراي كد دلخواه مي­گردند. يك مساله ديگر مرتبط با SSL/TLS نيز كه بر روي sandbox برنامه جاوا تاثير مي­گذارد و يك نقص آلوده سازي DNS cache نيز برطرف شده اند.
تا كنون هيچ گزارشي مبني بر مشاهده حملات BEAST ارائه نشده است، اما اين مساله ممكن است در آينده تغيير نمايد، بنابراين به كاربران توصيه مي­شود كه اين به روز رساني را هرچه سريع­تر نصب كنند. در حقيقت از آنجاييكه جاوا يكي از پلاگين­هاي مرورگر است كه بيشتر مورد حمله قرار مي­گيرد، به روز رساني آن بايد در اولويت قرار بگيرد.

مطالب مرتبط:
مرورگرها عليه مشكل امنيتي BEAST
وعده مايكروسافت براي به روز رساني ويندوز