Java در گرداب حفره‌های امنیتی

چند روز پیش، شرکت امنیتی Security Explorations لهستان، خبر از شناسایی دو حفره امنیتی جدید در نرم‌افزار Java داد که از این آسیب‌پذیری‌ها برای دور زدن امکانات امنیتی Sandbox در نرم‌افزار Java 7 و دسترسی غیرمجاز به سیستم‌های آسیب‌پذیر استفاده می‌شود. اگرچه Java چند روز پیش از انتشار این آسیب‌پذیری‌ها به‌روز شده بود (Java 7 update 15)، اما خبر وجود این دو حفره، بار دیگر آن را با چالش‌های جدی روبه‌رو کرد.

شرکت Oracle که حقوق انحصاری Java را برعهده دارد، برای ترمیم حفره‌های امنیتی این نرم‌افزار تلاش فراوانی داشته و با انتشار اصلاحیه‌های فوری و فوق‌العاده ـ Java 7 update 15 و Java 6 update 41 ـ سعی دارد اعتماد کاربران را جلب کند. ـ هرچند شرکت اوراکل اعلام کرده است از فوریه 2013 دیگر به‌روزرسانی را برای نسخه 6 منتشر نخواهد کرد و از کاربران درخواست کرده است برای بهتر اجرا شدن جاوا و پیشگیری از حملات به واسطه نقاط ضعف نسخه 6 نسخه 7 را روی سیستم‌هایشان نصب کنند ـ سعی اراکل در اصلاح و برطرف‌کردن پنج نقطه ضعف جدید را که در نسخه قبل Java فرصت ترمیم آنها وجود نداشت، می‌توان نمونه‌هایی از این تلاش بی‌وقفه دانست.

از پنج نقطه ضعف اصلاح شده جدید، چهار نقطه ضعف، قابل سوءاستفاده از طریق مرورگرها بوده که از این چهار نقطه ضعف نیز سه مورد از آنها با درجه اهمیت 10، از بالاترین درجه‌بندی امنیتی شرکت Oracle برخوردار هستند. نقطه ضعف پنجم نیز که در نسخه‌های به‌روز شده Java ترمیم شده مربوط به بخش Java Secure Socket Extention است.

سه تا از این روزنه‌ها در دو حالت سرویس‌دهنده (Server) و سرویس‌گیرنده (Client) عمل می‌کنند که در نتیجه به نفوذگران اجازه می‌دهند براحتی و توسط برنامه‌های وبی که از جاوا استفاده کرده‌اند یا اینترفیس‌های وبی که درخواست دریافت اطلاعات را از برنامه‌های مرتبط با جاوا دارند، به سیستم‌های سرویس‌دهنده یا سرویس‌گیرنده نفوذ کرده، اطلاعات آنها را دزدیده یا عملکردشان را دچار اختلال کنند.

پس از انتشار این اصلاحیه‌ها، مسئولان شرکت Oracle اعلام کردند برای آن‌که بتوانند عکس‌العمل سریع‌تری به تهدیدهای مرتبط با Java نشان دهند، فاصله‌های زمانی به‌روز‌رسانی Java را که معمولا سالی دو یا سه بار است، کاهش خواهند داد.

اوراکل همچنین اعلام کرده است که نسخه به‌روزرسانی جدید خود برای جاوا را در هجدهم ژوئن 2013 منتشر خواهد کرد.

دو هفته قبل نیز شرکت Apple نرم‌افزار Java را برای کاربران سیستم‌عامل Mac OS X خود به‌روز‌رسانی کرد تا بتواند از نفوذ بیشتر به رایانه‌های شرکت خود با سوء‌استفاده از یک نقطه‌ضعف موجود در این نرم‌افزار جلوگیری کند.

لازم به ذکر است که شرکت Apple به‌دلیل ضعف‌های امنیتی متعدد در نرم‌افزار Java آن را در سیستم‌‌های عامل‌ خود کنار گذاشته و کاربران نیز در صورت نصب Java روی سیستم‌هایشان باید خود به‌روز‌رسانی‌ها و رفع اشکالات این نرم‌افزار را از طریق شرکت Oracle پیگیری کنند و شرکت Apple هیچ اقدامی برای به‌روز‌رسانی Java روی سیستم‌های‌عامل جدید Lion یا Mountion Lion نخواهد کرد. به‌روز‌رسانی‌های منتشر شده نیز فقط برای کاربران سیستم‌عامل قدیمی Mac OS X 10.6 است که به نام Java for Mac OS X v 10.6 update 13 شناخته می‌شود و برای ترمیم 30 نقطه ضعف در Java 6 بوده و همچنین حاوی سه اصلاحیه جدید برای برطرف‌کردن نقاط‌ضعف جدیدی است که اخیرا مورد سوء‌استفاده قرار گرفته و امکان دسترسی غیرمجاز را به سیستم‌های قربانی می‌دهد.

پائول داکلین، مدیر فناوری بخش آسیا و اقیانوسیه شرکت Sophos اعلام کرد با توجه به خطرات رخ داده برای کاربران از سوی جاوا که بمراتب بزرگ‌تر از آسیب‌پذیری‌های فایل‌های باینری یا اجرایی تحت سیستم عامل ویندوز است،‌دیگر کاربران علاقه‌چندانی به حفظ جاوا روی سیستم‌هایشان ندارند و به همین دلیل کاربرانی که به اجرای برنامه‌های جاوا یا استفاده از پلاگین جاوا برای برنامه‌های تحت وب نیاز ندارند، جاوا را از روی سیستم‌هایشان پاک کرده‌اند.

پائول همچنین به تمامی کاربران توصیه می‌کند در صورتی که به برنامه‌ای نیاز ندارید آن را روی سیستم خود نصب نکنید، حتی اگر جاوا باشد.

به‌‌رغم این توصیه مهم مدیر فناوری Sophos و دستورالعمل‌های بسیاری که درخصوص نصب برنامه‌های مورد نیاز و به‌روزرسانی آنها وجود دارد، مطابق پژوهشی که آزمایشگاه کسپرسکی انجام داده است، بیشتر کاربران تمایلی به به‌روزرسانی نرم‌افزارهای خود ندارند و بیم آن دارند که با به‌روزرسانی دچار اشکالاتی شوند؛ هر چند به‌روزرسانی‌ها حیاتی و برطرف‌کننده خطرات امنیتی نرم‌افزارها باشد.

طبق این پژوهش اوراکل چهاردهم فوریه 2012، برای برطرف کردن آسیب‌پذیری‌های نسخه‌های 6 و 7 جاوا، به‌روزرسانی را منتشر کرد.

این شرکت بیست‌وششم آوریل نیز به‌روزرسانی دیگری را منتشر کرده و در ادامه دوازدهم ژوئن همان سال نیز به انتشار به‌روزسانی اقدام کرد، اوراکل انتظار داشت پس از انتشار نسخه به‌روزرسانی چهاردهم فوریه، 54 درصد کاربرانی که به واسطه آسیب‌پذیری‌های پیشین در معرض تهدید قرار داشتند، مشکلاتشان حل شود، اما این شرکت دریافت پس از انتشار به‌روزرسانی دوازدهم ژوئن، 37 درصد کاربران در معرض تهدید، کاربرانی هستند که هنوز نسخه به‌روزرسانی چهاردهم فوریه را روی سیستم‌هایشان نصب نکرده‌اند.

این گزارش همچنین می‌افزاید، هنوز 37 درصد از 800 رخنه آسیب‌پذیری که سال گذشته میلادی افشا شده است، روی 10 درصد سیستم‌های دنیا وجود دارد.

پس به هوش باشید، زیرا هکرها مانند کاربران تنبل نیستند و آنها مترصد کوچک‌ترین رخنه‌ای هستند تا بتوانند نفوذ خود را انجام دهند.

منابع:

Java.com, Infomationweale.com

Sophos.com

محمدمهدی واعظی‌نژاد