นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ค้นพบช่องโหว่ใหม่ของ Java 7 (มีผลกระทบกับ Java SE 7 Update 25 ซึ่งเป็นตัวล่าสุดด้วย)
ปัญหาอยู่ที่ส่วนของ Reflection API ซึ่งเป็นฟีเจอร์ที่เพิ่มเข้ามาใน Java 7 แต่กลับเป็นต้นเหตุของรูโหว่ใน Java เป็นจำนวนมาก ช่องโหว่นี้เป็นเรื่องของ data type ที่ต่างกันระหว่าง integer/pointer ซึ่ง Security Explorations บอกว่าเปิดให้ถูกโจมตีแบบง่ายๆ ซึ่งไม่ควรเกิดขึ้นแล้วในยุคนี้
Security Explorations จึงตั้งคำถามกับกระบวนการด้านตรวจสอบความปลอดภัยของออราเคิลว่ามีประสิทธิภาพมากเพียงใด เพราะปัญหารูโหว่ใน Java ช่วงหลังมาจากโค้ดใหม่ๆ ที่เพิ่มเข้ามาในเวอร์ชันหลังๆ นั่นเอง
รายละเอียดของช่องโหว่ถูกส่งให้กับออราเคิลแล้ว ที่เหลือก็รอแพตช์กันต่อไปครับ
ที่มา - Infoworld
Comments
It's not a feature. It's a bug.
555 bug ตัวจริง เพราะ oracle หน้า money ครับ
เพราะเด็กฝึกงาน
ไม่เทสกันเลยเร้อ
จริงๆ reflection ก็สามารถทำอะไรแปลกๆได้มากมายนะ เช่น ปรับเปลี่ยนพฤติกรรมโปรแกรมรันไทม์ได้ ก็น่ากลัวอยู่ ซึ่งอาจจะเอามาใช้เพื่อเจาะ Sandbox ได้
แต่ reflection ก็ไม่ใช่เรื่องใหม่ แต่ที่สงสัยคือภาษาอื่นๆที่สนับสนุน reflection เหมือนกันไม่เจอะปัญหาทำนองนี้บ้างรึไง
นึกถึง sun ขึ้นมา ไม่รู้ทำไม
ดาวน์โหลด Java ของเราไปใช้วันนี้ มีโปรโมชั่นแถมฟรี "Ask" Search Engine ขั้นเทพ พร้อมช่องโหว่เพียบ และ ของสมนาคุณอีกนับไม่ถ้วน :P
//ปล. Ask = ถาม? แล้วมันถามเราไหมว่าอยากได้หรือปล่าว =_="
ข่าวต่อไป: ออราเคิลออก Java พรุน สกัดเข้มข้นตีตลาด consumer ฟันยอดขายถล่มทลาย
php bug เยอะกว่า คนก็ยังใช้ มันจะไม่สำคัญเลยหาก Oracle รีบอุดช่องโหว่ แต่นึกว่าคนสร้าง JVM ที่เคยออกมายอมรับว่า Java ช่องโหว่เยอะมาก
คำตอบของข้า คือ ประกาศิต