IRCAR201209152
تاريخ: 31/06/91
آيا جاوا، بزرگترين فعالكننده برنامههاي مفيد است يا اينكه يك هدر دهنده فضا است كه زيان آن بيشتر از سود آن است؟
در اواخر آگوست اخباري منتشر شد مبني بر دو آسيبپذيري جديد و اصلاح نشده و جدي در جاوا (CVE-2012-4681 به همراه شواهد متعدد و معتبري كه نشان ميداد مجرمان سايبري در حال سوء استفاده از اين آسيبپذيريها هستند. همين موضوع ادامه استفاده از جاوا را در معرض سؤال قرار داد.
اوراكل اين نقص امنيتي را در يك اصلاحيه خارج از نوبت و فوري ترميم كرد. اما به گفته شركت امنيتي لهستاني Security Explorations، اوراكل ماهها قبل در مورد اين آسيبپذيري آگاه شده بود و در مورد آن كاري صورت نداده بود.
مدت كوتاهي پس از عرضه اين اصلاحيه، محققان لهستاني اعلام كردند كه يك آسيبپذيري جديد در اين اصلاحيه كشف كردهاند، كه اجازه عبور از sandbox اين نرمافزار را صادر مينمايد.
حال سؤال اينجاست كه آيا كاربران و شركتها بايد جاوا را بر روي سيستمهاي خود نگاه دارند؟ در هر دو مورد پاسخ مثبت است، اما به اين شرط كه واقعا به آن نياز داشته باشند. حال به برخي افسانهها و تصورات موجود در اين مورد ميپردازيم.
افسانه اول- من فقط در شرايط خاص به جاوا بر روي سيستم خود نياز دارم
براي شركتها، تصميمگيري در مورد اينكه JRE مورد نياز است يا خير، بسيار سرراست و راحت است و در اغلب موارد نيز جواب اين سؤال مثبت است. احتمالا ادمينها اجازه استفاده از جاوا را بر روي كامپيوترهاي دسكتاپ صادر نميكنند، مگر اينكه دليل مشخصي داشته باشد. اما مصرفكنندگان در بسياري موارد جاوا را بر روي سيستم خود دارند، در حاليكه نيازي به آن ندارند. بر روي بسياري از كامپيوترها نيز جاوا بهطور پيشفرض نصب شده است.
به خاطر داشته باشيد كه جاوا بر روي كامپيوتر نصب ميگردد، اما در داخل مرورگرها نيز ميتواند فعال يا غيرفعال گردد.
افسانه دوم- جاوااسكريپت همان جاوا است
اين اشتباه است! صرفنظر از استفاده از لغت جاوا، اين دو كاملا غيرمرتبط هستند. جاوااسكريپت در سال 1995 توسط «برندان ايخ» و در حالي كه براي Nestscape كار ميكرد، اختراع شد. وي اعتقاد داشت كه واسط اسكريپتي وي براي تعاملي كردن مرورگرها و وبسايتها بسيار مفيد است.
افسانه سوم- نسخههاي قديمي بيضرر هستند
اين يك افسانه ديگر در مورد جاوا است. بسياري از كاربران حتي پس از دانلود بهروز رسانيهاي امنيتي، باز هم فراموش ميكنند كه نسخههاي قديمي را حذف نمايند.
همانطور كه اوراكل در ماه مي اظهار داشت، نگه داشتن نسخههاي قديمي و بدون پشتيباني جاوا بر روي سيستم، يك خطر امنيتي جدي به حساب ميآيد. اين شركت به كاربران خود راهنمايي ميكند كه چهطور اين كار را انجام دهند. انجام اين كار بسيار ساده و در عين حال مهم است.
اما بسياري از كاربران كامپيوتر، از اهميت اين موضوع آگاه نيستند و ترجيح ميدهند وقت خود را با كارهاي ديگري پر كنند.
اما چرا اوراكل در هنگام نصب جاواي جديد، نسخههاي قديمي را حذف نميكند؟ زيرا ممكن است نسخههاي قديمي توسط برخي برنامهها مورد استفاده قرار گيرند و به همين دليل اوراكل اين كار را انجام نميدهد.
يك نكته مهم حصول اطمينان از اين موضوع است كه نسخههاي جديد جاوا بهطور خودكار دانلود ميگردند و سيستم نيز بهطور مرتب و در فواصل زماني مناسب، عرضه نسخههاي جديد را مورد بررسي قرار ميدهد. اين مدت زمان بهطور پيشفرض يك ماه است كه شايد بهتر باشد كمتر گردد. در ويندوز، برنامه جاوا را از كنترل پنل اجرا كرده و بر روي سربرگ Update/advanced كليك نماييد تا اين فاصله زماني را به مدتي كمتر (مثلا يك بار در هفته) كاهش دهيد.
افسانه چهارم- آسيبپذيريهاي جاوا، يك مشكل ويندوز هستند
نقايص امنيتي جاوا ميتوانند بر روي تمامي پلتفورمهايي كه runtime در آنها وجود دارد، از جمله اپل و لينوكس تأثير بگذارند. البته اين بدان معنا نيست كه هر نقص امنيتي جاوا تمامي اين پلتفورمها را بهطور يكسان تحت تأثير قرار ميدهد. اغلب بدافزارهاي سوء استفاده كننده از نقايص امنيتي جاوا، كاربران ويندوز را هدف قرار ميدهند.
اما تروجان فلشبك كه اوايل سال ميلادي جاري شناسايي شد، ثابت كرد كه كاربران Mac نيز در برابر خرابكاريهاي جاوا مصون نيستند. اين بدافزار از يك آسيبپذيري جاوا (CVE-2012-0507) سوء استفاده ميكند كه بايد توسط خود اپل اصلاح ميشد. در حقيقت كاربران اپل با دو لايه وابستگي روبرو هستند، اوراكل و اپل.
افسانه پنجم- اوراكل از من محافظت خواهد كرد
اگر اين موضوع كه اوراكل در پاسخگويي به آسيبپذيريها ماهها تعلل كرده است، اين افسانه خود به خود از جرگه واقعيت خارج ميگردد. بدافزار نويسان سالهاست كه در حال شكار نقايص جاوا هستند و به نظر ميرسد كه اين موضوع، چندان اوراكل را تحت تأثير قرار نداده است.
مطالب مرتبط:
كشف آسيب پذيري هاي جديد در جاوا
اصلاحيه اوراكل براي آسيب پذيري جاوا 7
- 12