فقط چند ساعت از عرضه زود هنگام پچ جاوا گذشته بود که متخصصین اعلام کردند این پچ کار نمی کند! فرقی نمی کند که این پچ را نصب کرده اید یا نه. به شدت توصیه می شود که همین حالا، جاوا را از کار بیاندازید. در پی کشف یک سری نقاط ضعف اساسی در جاوا، اوراکل بابت تأخیر در پاسخ گویی در معرض انتقادات شدیدی قرار گرفته است. در واقع گزارشات، حاکی از این است که نرم افزارها یا اطلاعاتی که برای سود بردن از این نوع باگ ها طراحی می شوند دست به کار شده اند. این برنامه های سوء استفاده گر هم در Metasploit و هم در Blackhole گنجانده شده اند و به این ترتیب سوء استفاده از این حفره های امنیتی را بسیار ساده شده است.
باید توجه داشت که پچ های جاوایی اوراکل چرخه های چهار ماهه را به طور متناوب طی می کنند: به این ترتیب که پچ ها هر دوماه یک بار عرضه می شوند، در حالی که پچ های امنیتی آن ها در یک بازه زمانی دو ماهه ارائه می شود و طی دوماه بعدی، رفع باگ ها و تقویت برنامه اتفاق می افتد. این روند بدین معناست که ممکن است برای مطرح شدن یک مشکل و آغاز به رفع آن مجبور شویم ماه ها صبر کنیم به ویژه اینکه هنگام عرضه آن، راه حل مشکل ارائه نشده باشد.
با وجودی که اوراکل پیش از این اعلام کرده بود که طبق معمول چرخه های پچ های امنیتی در ماه اکتبر آماده می شود، هفته گذشته با عجله یک پچ را روانه بازار کرد. مسئله مهم، همین با عجله انجام دادن این کار است. به زودی مشخص شد که این پچ فقط به مشکل برخی از بردارهای حمله پرداخته است و البته کمی پس از آن مشخص گردید که حتی مشکل همان تعداد اندک را هم حل نکرده است.
در ماه آوریل موسسه امنیتی لهستانی Security Explorations (اکتشافات امنیتی) به نقص های اولیه این پچ پی برد و و آنها را مستقیما” با اوراکل( که مالکیت جاوا را به عنوان بخشی از شرکت ادغامی Sun Microsystems بر عهده دارد) در میان گذاشت. چند ماه بعد، اوراکل به دلیل نپرداختن به این مشکلات مورد انتقاد قرار گرفت. گزارشات روزانه شرکت Security Explorations بر این امر صحه می گذارد.
مشکل زمانی بدتر شد که سوء استفاده های عملی از این مشکلات از کنترل خارج شد. به نظر می رسد طی چند روز گذشته بالاخره اوراکل دست به عمل زده و پچ کیتی که را که در رسانه های فناوری عنوان کرده بود، ارائه نمود. بیشتر مفسران توصیه کردند که کاربران به سرعت این نسخه همراه با پچ را استفاده کنند. اما این توصیه هم باطل اعلام شد. فقط چند ساعت پس از در دسترس قرار گرفتن این پچ، آدام گودایک موسس شرکت Security Explorations به لیست های امنیتی اعلام کرد فکر می کند این پچ، باگی دارد که برخی از نقاط آسیب پذیری را که هنوز در این پچ آورده نشده را به سادگی در معرض سوء استفاده قرار می دهد. توصیه می شود در کامپیوترهایتان جاوا را در هرکجا که مورد استفاده قرار گرفته است از کار بیاندازید مگر آنکه برای عملیات های تحت وب، حیاتی باشد. Sophos’ Graham Cluley راه حل هایی برای چگونگی انجام این کار در اختیارتان قرار می دهد.
از سوی دیگر، برایان کربز می گوید: اگر مجبور به استفاده از جاوا در مرورگرتان هستید باید آن را فقط در مرورگر دومی اجرا کنید که فقط برای دسترسی به جاهایی استفاده می شود که به جاوا نیاز دارد و تمام دسترسی های دیگرتان به وب باید از طریق مرورگری باشد که جاوا در آن غیرفعال شده است.
سوالی دارید از ما بپرسید
تلفن: ۸۴۳۶۳۰۰۰-۰۲۱