Trend Micro ออกมาประกาศช่องโหว่ใหม่ของ Java 8 ที่ยังไม่มีแพตช์แก้ไข ซึ่งถือเป็นช่องโหว่แบบ zero-day ตัวแรกในรอบ 2 ปีของ Java ด้วย
การค้นพบช่องโหว่ Java ครั้งนี้ไม่เกี่ยวอะไรกับเอกสารของ Hacking Team ที่เผยช่องโหว่ Flash แต่เกิดจากการจับตาปฏิบัติการเจาะระบบชื่อ Operation Pawn Storm ที่เริ่มมาตั้งแต่เดือนเมษายน 2015 และมุ่งเป้าเจาะระบบของหน่วยงานด้านความมั่นคงของสหรัฐอย่างทำเนียบขาว-นาโต้
ทีมเฝ้าระวังของ Trend Micro ตรวจพบว่า URL ที่ฝ่ายแฮ็กเกอร์ Pawn Storm เคยใช้งานมีการเปลี่ยนแปลงเนื้อหาของเว็บเพจในภายหลัง และเนื้อหาในเพจเหล่านี้เตรียมไว้สำหรับเจาะระบบผ่านช่องโหว่ของ Java ที่ยังไม่เคยถูกเปิดเผยมาก่อน
Trend Micro ระบุว่าช่องโหว่นี้มีผลเฉพาะกับ Java 8 เท่านั้น (1.8.0.45 ตัวล่าสุดก็โดน) ส่วน Java 6/7 ไม่มีผลจากช่องโหว่นี้ ตอนนี้ออราเคิลรับทราบปัญหาแล้ว ระหว่างที่รอแพตช์คงต้องปิดการทำงานของ Java กันไปก่อนครับ
ที่มา - Trend Micro
Comments
"ระหว่างที่รอแพตช์คงต้องปิดการทำงานของ Java กันไปก่อนครับ" แล้วจะได้ใช้กันตอนไหนครับนี่ ปิดตัวนี้ได้ ตัวใหม่ก็มาอีก 555
ปกติของการจัดการระบบไอที ถ้ามีบางงานที่จำเป็นต้องใช้แบบนี้ ก็คงต้องเปิดเป็นกรณีไป+หามาตรการเพิ่มเติมครับ
เรื่องพวกนี้เวลาจัดการระบบแล้วมีช่องโหว่ที่ยังไม่ได้แพตช์ก็เกิดขึ้นได้เรื่อยๆ อยู่แล้ว
lewcpe.com, @wasonliw
ผมยังใช้แค่ 1.7 อยู่เลย