آيا استفاده از جاوا خطرناک است؟

آيا استفاده از جاوا خطرناک است؟

تاریخ ایجاد

IRCAR201209152
تاريخ: 31/06/91

آيا جاوا، بزرگترين فعال‌كننده برنامه‌هاي مفيد است يا اين‌كه يك هدر دهنده فضا است كه زيان آن بيشتر از سود آن است؟
در اواخر آگوست اخباري منتشر شد مبني بر دو آسيب‌پذيري جديد و اصلاح نشده و جدي در جاوا (CVE-2012-4681 به همراه شواهد متعدد و معتبري كه نشان مي‌داد مجرمان سايبري در حال سوء استفاده از اين آسيب‌پذيري‌ها هستند. همين موضوع ادامه استفاده از جاوا را در معرض سؤال قرار داد.
اوراكل اين نقص امنيتي را در يك اصلاحيه خارج از نوبت و فوري ترميم كرد. اما به گفته شركت امنيتي لهستاني Security Explorations، اوراكل ماه‌ها قبل در مورد اين آسيب‌پذيري آگاه شده بود و در مورد آن كاري صورت نداده بود.
مدت كوتاهي پس از عرضه اين اصلاحيه، محققان لهستاني اعلام كردند كه يك آسيب‌پذيري جديد در اين اصلاحيه كشف كرده‌اند، كه اجازه عبور از sandbox اين نرم‌افزار را صادر مي‌نمايد.
حال سؤال اينجاست كه آيا كاربران و شركت‌ها بايد جاوا را بر روي سيستم‌هاي خود نگاه دارند؟ در هر دو مورد پاسخ مثبت است، اما به اين شرط كه واقعا به آن نياز داشته باشند. حال به برخي افسانه‌ها و تصورات موجود در اين مورد مي‌پردازيم.

افسانه اول- من فقط در شرايط خاص به جاوا بر روي سيستم خود نياز دارم
براي شركت‌ها، تصميم‌گيري در مورد اين‌كه JRE مورد نياز است يا خير، بسيار سرراست و راحت است و در اغلب موارد نيز جواب اين سؤال مثبت است. احتمالا ادمين‌ها اجازه استفاده از جاوا را بر روي كامپيوترهاي دسكتاپ صادر نمي‌كنند، مگر اين‌كه دليل مشخصي داشته باشد. اما مصرف‌كنندگان در بسياري موارد جاوا را بر روي سيستم خود دارند، در حالي‌كه نيازي به آن ندارند. بر روي بسياري از كامپيوترها نيز جاوا به‌طور پيش‌فرض نصب شده است.
به خاطر داشته باشيد كه جاوا بر روي كامپيوتر نصب مي‌گردد، اما در داخل مرورگرها نيز مي‌تواند فعال يا غيرفعال گردد.

افسانه دوم- جاوااسكريپت همان جاوا است
اين اشتباه است! صرفنظر از استفاده از لغت جاوا، اين دو كاملا غيرمرتبط هستند. جاوااسكريپت در سال 1995 توسط «برندان ايخ» و در حالي كه براي Nestscape كار مي‌كرد، اختراع شد. وي اعتقاد داشت كه واسط اسكريپتي وي براي تعاملي كردن مرورگرها و وب‌سايت‌ها بسيار مفيد است.

افسانه سوم- نسخه‌هاي قديمي بي‌ضرر هستند
اين يك افسانه ديگر در مورد جاوا است. بسياري از كاربران حتي پس از دانلود به‌روز رساني‌هاي امنيتي، باز هم فراموش مي‌كنند كه نسخه‌هاي قديمي را حذف نمايند.
همان‌طور كه اوراكل در ماه مي اظهار داشت، نگه داشتن نسخه‌هاي قديمي و بدون پشتيباني جاوا بر روي سيستم، يك خطر امنيتي جدي به حساب مي‌آيد. اين شركت به كاربران خود راهنمايي مي‌كند كه چه‌طور اين كار را انجام دهند. انجام اين كار بسيار ساده و در عين حال مهم است.
اما بسياري از كاربران كامپيوتر، از اهميت اين موضوع آگاه نيستند و ترجيح مي‌دهند وقت خود را با كارهاي ديگري پر كنند.
اما چرا اوراكل در هنگام نصب جاواي جديد، نسخه‌هاي قديمي را حذف نمي‌كند؟ زيرا ممكن است نسخه‌هاي قديمي توسط برخي برنامه‌ها مورد استفاده قرار گيرند و به همين دليل اوراكل اين كار را انجام نمي‌دهد.
يك نكته مهم حصول اطمينان از اين موضوع است كه نسخه‌هاي جديد جاوا به‌طور خودكار دانلود مي‌گردند و سيستم نيز به‌طور مرتب و در فواصل زماني مناسب، عرضه نسخه‌هاي جديد را مورد بررسي قرار مي‌دهد. اين مدت زمان به‌طور پيش‌فرض يك ماه است كه شايد بهتر باشد كمتر گردد. در ويندوز، برنامه جاوا را از كنترل پنل اجرا كرده و بر روي سربرگ Update/advanced كليك نماييد تا اين فاصله زماني را به مدتي كمتر (مثلا يك بار در هفته) كاهش دهيد.

افسانه چهارم- آسيب‌پذيري‌هاي جاوا، يك مشكل ويندوز هستند
نقايص امنيتي جاوا مي‌توانند بر روي تمامي پلت‌فورم‌هايي كه runtime در آنها وجود دارد، از جمله اپل و لينوكس تأثير بگذارند. البته اين بدان معنا نيست كه هر نقص امنيتي جاوا تمامي اين پلت‌فورم‌ها را به‌طور يكسان تحت تأثير قرار مي‌دهد. اغلب بدافزارهاي سوء استفاده كننده از نقايص امنيتي جاوا، كاربران ويندوز را هدف قرار مي‌دهند.
اما تروجان فلش‌بك كه اوايل سال ميلادي جاري شناسايي شد، ثابت كرد كه كاربران Mac نيز در برابر خرابكاري‌هاي جاوا مصون نيستند. اين بدافزار از يك آسيب‌پذيري جاوا (CVE-2012-0507) سوء استفاده مي‌كند كه بايد توسط خود اپل اصلاح مي‌شد. در حقيقت كاربران اپل با دو لايه وابستگي روبرو هستند، اوراكل و اپل.

افسانه پنجم- اوراكل از من محافظت خواهد كرد
اگر اين موضوع كه اوراكل در پاسخ‌گويي به آسيب‌پذيري‌ها ماه‌ها تعلل كرده است، اين افسانه خود به خود از جرگه واقعيت خارج مي‌گردد. بدافزار نويسان سال‌هاست كه در حال شكار نقايص جاوا هستند و به نظر مي‌رسد كه اين موضوع، چندان اوراكل را تحت تأثير قرار نداده است.

مطالب مرتبط:
كشف آسيب پذيري هاي جديد در جاوا
اصلاحيه اوراكل براي آسيب پذيري جاوا 7

برچسب‌ها