วันพุธที่ 24 เมษายน พ.ศ. 2556

ระวังภัย ช่องโหว่ใน Java 7 Update 10 (CVE-2013-0422)



วันที่ประกาศ: 11 มกราคม 2556
ปรับปรุงล่าสุด: 15 มกราคม 2556
เรื่อง: ระวังภัย ช่องโหว่ใน Java 7 Update 10 (CVE-2013-0422)

ประเภทภัยคุกคาม: Malicious Code

ข้อมูลทั่วไป

นักวิจัยด้านความมั่นคงปลอดภัยที่ใช้ชื่อว่า Kafeine ได้ค้นพบมัลแวร์ที่โจมตีผ่านช่องโหว่ของโปรแกรม Java เวอร์ชั่น 7 Update 10 หรือเก่ากว่า และได้พบว่าซอฟต์แวร์ประเภท Exploit Kit หลายตัว เช่น Metasploit, Redkit หรือ Blackhole ได้เพิ่มความสามารถในการโจมตีผ่านช่องโหว่ดังกล่าวนี้เข้าไปในโปรแกรมของตนเองแล้ว [1] ช่องโหว่ดังกล่าวนี้มีหมายเลข CVE-2013-0422 [2]
บริษัท FireEye แจ้งว่าได้ตรวจสอบพบการโจมตีผ่านช่องโหว่นี้ตั้งแต่เมื่อวันที่ 2 มกราคม 2556 แล้ว โดยพบว่ามีการฝังโค้ดที่ใช้ในการโจมตีไว้ในเว็บไซต์ประเภทแชร์ไฟล์[3] ในเบื้องต้นทาง FireEye พบว่าช่องโหว่ดังกล่าวนี้ถูกใช้เป็นช่องทางในการโจมตี Java 7 Update 10 หรือต่ำกว่าใน Java เวอร์ชั่น Windows แต่คาดว่าช่องโหว่นี้สามารถใช้ในการโจมตีระบบปฏิบัติการอื่นๆ ได้ด้วย
US-CERT ได้วิเคราะห์ว่าช่องโหว่ดังกล่าวเกิดจากข้อผิดพลาดในฟังก์ชัน setSecurityManager() ของระบบ Security Manager ใน Java Runtime Environment (JRE) มีผลทำให้แอปพลิเคชันสามารถได้รับสิทธิการทำงานเกินปกติ (Privilege Escalation) [4]

ผลกระทบ

ช่องโหว่ดังกล่าวนี้สามารถโจมตีได้ด้วยการฝังโค้ดอันตรายไว้ในเว็บไซต์ ซึ่งหากผู้ใช้งานเข้าชมเว็บไซต์ดังกล่าว อาจถูกติดตั้งมัลแวร์หรืออาจถูกสั่งให้ประมวลผลคำสั่งอันตรายจากระยะไกลได้ (Remote Code Execution)

ระบบที่ได้รับผลกระทบ

Java 7 Update 10 หรือต่ำกว่า ในเวอร์ชั่น Windows

ข้อแนะนำในการป้องกันและแก้ไข

Oracle ได้ออก Java 7 Update 11 เพื่อแก้ไขปัญหานี้แล้ว ผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Oracle [5] โดยอัพเดตเวอร์ชั่นดังกล่าวนี้ได้แก้ปัญหา CVE-2012-3174 ด้วย
อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยหลายฝ่ายให้ความเก็นว่าถึงแม้จะมีอัพเดตออกมาแล้ว แต่ Java ยังคงมีความเสี่ยงอยู่ และแนะนำให้ปิดการทำงานของ Java เมื่อไม่มีความจำเป็นต้องใช้งาน [6] โดยตั้งแต่ Java 7 Update 10 เป็นต้นไป ทาง Oracle ได้เพิ่มคุณสมบัติการปิดการทำงานของ Java ในเว็บเบราว์เซอร์แล้ว ซึ่งผู้ใช้สามารถศึกษาวิธีการปิดการทำงานได้จากเว็บไซต์ของ Java [7]

อ้างอิง

  1. http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html
  2. http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0422
  3. http://blog.fireeye.com/research/2013/01/happy-new-year-from-new-java-zero-day.html
  4. http://www.kb.cert.org/vuls/id/625617
  5. http://www.oracle.com/technetwork/java/javase/7u11-relnotes-1896856.html
  6. http://www.reuters.com/article/2013/01/14/us-java-oracle-security-idUSBRE90D10P20130114
  7. http://www.java.com/en/download/help/disable_browser.xml
เขียนโดย ที่
ป้ายกำกับ:

ไม่มีความคิดเห็น:

แสดงความคิดเห็น

สมัครสมาชิก: ส่งความคิดเห็น (Atom)