US-CERT ยังแนะนำให้ "ปิดการทำงานของ Java" ถึงแม้ออราเคิลออกแพตช์แล้ว

By: mk

on 15 January 2013 - 09:21 Tags:

Topics:

Java

Security

Oracle

US-CERT หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ) ยังออกมาเตือนให้ผู้ใช้งาน Java สั่งปิดการทำงานของ Java ในเว็บเบราว์เซอร์ต่อไป แม้ว่าออราเคิลได้ออกแพตช์ Java 7u11 มาแก้ไขแล้วก็ตาม

US-CERT ให้เหตุผลว่าช่องโหว่ Java ตามข่าวก่อนหน้านี้ถูกใช้งานอย่างแพร่หลาย และมีความเป็นไปได้สูงว่าจะพบช่องโหว่ใหม่ๆ ในอนาคต ดังนั้นเพื่อเป็นการป้องกันตัว ผู้ใช้ควรปิดการใช้งาน Java ผ่าน Java Control Panel หรือหน้าจอตั้งค่าของ Java เอง

ผู้เชี่ยวชาญความปลอดภัยระบุว่า Java 7u11 ไม่ได้แก้ปัญหาทั้งหมด และผู้ใช้ยังมีโอกาสโดนมัลแวร์ได้ ถ้าโดนหลอกให้กดรันโค้ดประสงค์ร้ายด้วยวิธี social engineering

Charlie Miller ผู้เชี่ยวชาญด้านความปลอดภัยคนดัง ให้สัมภาษณ์ว่า Java ไม่ปลอดภัยมานานแล้ว ไม่ใช่จู่ๆ เพิ่งเกิดปัญหาด้านความปลอดภัย เพียงแต่เพิ่งมาเป็นข่าวดังในช่วงหลังเท่านั้นเอง

ที่มา - US-CERT, Reuters, BetaNews

Hiring! บริษัทที่น่าสนใจ

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Wisesight (Thailand) Co., Ltd.

The Best Choice For Handling Social Media · High Expertise in Social Data · Most Advanced and Secure

Comments

By: PathSNW

on 15 January 2013 - 11:23 #529337

มันไม่มีสิ่งใดปลอดภัย 100% หรอกครับ

ยิ่งคนใช้เยอะ มัลแวร์ก็เยอะตาม เป็นเรื่องธรรมดา

แต่อย่าแก้ปัญหาแต่ที่ปลายเหตุ โดยการปิดกั้นทุกอย่าง แล้วโม้ว่าปลอดภัย ทั้งที่จริงมัน "ไม่มีอะไรเลย"

เหมือน.................

By: EThaiZone

on 15 January 2013 - 11:47 #529350 Reply to:529337

เป็นคอมเมนต์ที่ชวนให้มาม่ามากเลย ปัญหามันไม่ควรแก้ปลายเหตุก็จริง แต่เคสนี้มันคนละเรื่องเลย ทุกวันนี้ยังไม่มีใครบังคับ Oracle ให้ออกแพตช์แก้ไขได้เลย เว้นถ้าไม่เป็นข่าวแล้วสร้าง "ชื่อเสีย" ขึ้นมา พี่แกก็ไม่คิดจะออกมา ถึงรอบออกแพตช์เดียวก็มา แต่ระหว่างรอบใครโดนก็ซวยไป

และไม่ใช่ US-CERT แนะนำคนเดียว Firefox กับ OSX ก็มีอัพเดตให้เอา Java ออกเหมือนกัน ข่าวเก่าหาอ่านเอาเอง

คำว่า "ไม่มีอะไรเลย" พิมพ์มานี้แสดงว่าไม่รู้ว่าอันตรายแค่ไหน เป็นค้นดูๆ ก่อนละกันว่ารูเก่าๆ กว่าพี่แกจะอัพแต่ละตัวรุนแรงแค่ไหน แล้วระยะเวลาที่ดองน่ะเท่าไร และด้วยเหตุผลทั้งมวล บัดนี้ก็ยังมีที่ดองไว้อยู่

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: lew

on 15 January 2013 - 12:15 #529361 Reply to:529337

ไม่มีอะไรปลอดภัย 100% ครับ

แต่ถ้าผู้ผลิตรับผิดชอบเป็นอย่างดี อัพเดตต่อเนื่องก็ลดความเสี่ยงได้มาก ผู้ใช้มีแนวทางปฎิบัติว่าควรแก้ปัญหายังไง (รีบๆ อัพเดตซะ)

lewcpe.com, @wasonliw

By: Chiron

on 15 January 2013 - 11:59 #529357

อยากรู้ว่า Java ไม่ทำเงินให้ Oracle เท่าที่ควรเหรอครับ ดูไม่ค่อย Active เท่าไหร่ที่จะอุด

By: EThaiZone

on 15 January 2013 - 12:04 #529359 Reply to:529357

ลองอ่านข่าวนี้ดูครับ มีพูดถึงรอบการออกแพตช์ว่าทำไมถึงช้า มีบอกจำนวนรอบด้วย ผมอ่านทีไรก็ปวดตับ

สาเหตุที่บริษัทความปลอดภัยแนะนำให้ถอดจาวา, ออราเคิลรู้ปัญหามาเกือบครึ่งปี

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: line

on 15 January 2013 - 12:06 #529360

อะไรที่ไปอยู่ภายใต้ Oracle ชักจะเป็นเมียน้อยไปเรื่อยๆ หล๊ะ
ทั้ง Java, MySQL

PS.ส่วนตัวเกลียด Java เพราะ มัน Support ยาก 555+

seeking for New Frontier...

By: nextman13

on 15 January 2013 - 13:02 #529375

ไม่เป็นไร เพราะผมยังใช้ต่อไป แต่ไม่ใช้แบบ plugins ใน browser เท่านี้ก็ปลอดภัยหายห่วง แต่กลับคิดว่า applet นี่เลิกๆ ทำเถอะ เพราะมันเหมือนกับ flash หรือ Activex ผมเลยไม่ชอบ

By: l2aelba

on 15 January 2013 - 16:08 #529404

กำลังสงสัยว่าทำไมธนาคารบางประเทศ ถึงต้องให้ลูกค้า Login ด้วย Java อะ มันปลอดภัยกว่าการ Login ธรรมดาเหรอครับ วานผู้รู้ช่วยตอบที

By: AongDev

on 15 January 2013 - 18:27 #529440 Reply to:529404

เค้าใช้ applet เพื่อ encrypt/decrypt ข้อมูลในการรับส่งครับ

By: Ruszell

on 29 September 2013 - 12:53 #633760

Java นี้เจอบั๊กด้านความปลอดภัยบ่อยจัง

Main menu