GIT – Lỗ hổng nghiêm trọng mới trong Oracle Java có quy mô ảnh hưởng hơn nhiều so với lỗ hổng trước vì hiện diện trên cả Java 5, Java 6, và Java 7. Người dùng nên tắt plugin Java.

Lỗ hổng nghiêm trọng trong Java mà công ty Oracle để lọt trong lần cập nhật gần đây nhất đang đe doạ hàng tỷ người dùng máy tính cá nhân, theo Computerworld dẫn nguồn chuyên gia an toàn thông tin từ công ty Explorations Adam Gowdiak.Theo lời Gowdiak, đây đang nói về lỗ hổng nghiêm trọng mới, một lỗ hổng “zero-day”. Lưu ý là, cuối tháng 8/2012, các chuyên gia đã gióng chuông báo động về lỗi đa nền tảng nghiêm trọng trong Java liên quan đến người dùng , Mac OS và Linux. Trang tin Ars Technica đã bổ sung vào danh mục các hệ điều hành bị ảnh hưởng. Sau khi phát hiện lỗ hổng nghiêm trọng này, người dùng đã được khuyến cáo tắt plugin Java trong các trình duyệt hoặc nói chung là loại hẳn Java ra khỏi máy tính.

Lỗ hổng mới cũng là lỗ hổng đa nền tảng và cũng cho phép kẻ xấu kiểm soát máy tính của nạn nhân. Người dùng chỉ vào website lây nhiễm bằng một trình duyệt nào đó như Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera và Safari là bị dính lỗ hổng này.

Gowdiak thông báo rằng lỗ hổng mới có quy mô lớn hơn nhiều so với lỗ hổng phát hiện hồi tháng 8/2012 vì nó không chỉ ở một mà ba phiên bản môi trường thực thi – Java 5, 6, 7. Trước kia, các chuyên gia đã cảnh báo rằng bản vá cuối cùng do Oracle phát hành đã không khắc phục hết các lỗ hổng trong Java 7.

Chuyên gia Gowdiak đã liệt kê các phiên bản cụ thể phần mềm mà ông khai thác thành công. Đó là các phiên bản sau của Java: Java SE 5 Update 22; Java SE 6 Update 35 và Java SE 7 Update 7 và các trình duyệt Chrome 21.0.1180.89; Firefox 15.0.1; Internet Explorer 9.0.8112.1642; Opera 12.02 và Safari 5.1.7. Tất cả các phiên bản trong quá trình kiểm tra đều được chạy trong môi trường Windows 32 bit.

Chuyên gia Gowdiak đề nghị người dùng tắt bỏ Java-plugin trong các trình duyệt (nếu chúng được bật lại sau khi phát hiện lỗ hổng hồi tháng 8/2012 và vá lỗi), chờ đến lần cập nhật tiếp theo của Oracle. Gói sửa lỗi nghiêm trọng tiếp theo được lên kế hoạch tung ra vào 16/10/2012 nên nhiều khả năng người dùng phải chờ đến tận ngày đó, Gowdiak nói thêm.

Print Friendly

Comments

comments

Bài viết liên quan