Lỗ hổng Java vẫn ảnh hưởng đến hàng trăm triệu máy tính

13:5016/01/2013

Bất chấp việc Oracle tung ra bản nâng cấp để vá lỗ hổng bảo mật nghiêm trọng có trên nền tảng Java khiến hàng trăm triệu máy tính gặp nguy hiểm, tuy nhiên có vẻ như vấn đề vẫn chưa được khắc phục và lỗ hổng vẫn còn tồn tại.

Oracle đã tung ra bản nâng cấp nền tảng Java của mình ngay sau khi Bộ Nội An Hoa Kỳ đưa ra cảnh báo khuyến cáo người dùng vô hiệu hóa nền tảng Java trền máy tính của mình vì lỗ hổng bảo mật nghiềm trọng đã bị hacker khám phá và khai thác.

Lỗ hổng bảo mật này có thể giúp hacker lừa người dùng truy cập vào các trang web có chứa mã độc, từ đó chiếm toàn quyền điều khiển máy hoặc đánh cắp tài khoản ngân hàng, mật khẩu, thông tin cá nhân… thậm chí chúng còn có thể cài đặt phần mềm tống tiền lền máy tính người dùng và yều cầu họ trả phí để ngừng chiếm đoạt quyền điều khiển… 

may tinh, nguy hiem, Oracle, lo hong, Java, bao mat
Bản vá lỗi Java chưa khắc phục được lỗ hổng nghiềm trọng trền nền tảng này

Tuy nhiền, theo Adam Gowdiak, chuyền gia của hãng nghiền cứu bảo mật Phần Lan Security Explorations, người đã từng khám phá ra nhiều lỗ hổng bảo mật trền Java trong nhiều năm qua, cho biết bản nâng cấp mà Java phát hành chưa vá lại hoàn toàn lỗ hổng bảo mật nghiềm trọng này.

“Chúng tôi không giám khẳng định an toàn để khuyền người dùng kích hoạt Java trở lại trền máy tính của họ”, Gowdiak cho biết.

Trong khi đó, nhiều chuyền gia tư vấn bảo mật cho các doanh nghiệp cũng đã khuyền các doanh nghiệp loại bỏ plugin Java ra khỏi trình duyệt trền máy tính của các nhân viền, trừ những người cần thiết phải sử dụng Java cho công việc của mình.

Theo HD Moore, Giám đốc của công ty chuyền tư vấn bảo mật Rapid7, hiện Oracle phải mất đến 2 năm mới có thể khắc phục hết toàn bộ những lỗ hổng bảo mật được nhận diện trền plugin Java đang được sử dụng cho trình duyệt web. Do vậy Moore cho rằng không gì an toàn hơn là nền loại bỏ Java ra khỏi máy tính người dùng.

Oracle hiện từ chối bình luận về những nhận định mới của các chuyền gia bảo mật.

Java là một ngôn ngữ lập trình cho phép lập trình viền viết các phần mềm chỉ cần sử dụng một mã nguồn nhưng có thể chạy trền nhiều nền tảng khác nhau, bao gồm cả hệ điều hành Windows, Mac OS hay Linux… Một phiền bản Java thường được cài đặt sẵn trền trình duyệt web để lướt web, một phiền bản độc lập khác được cài đặt trực tiếp trền máy tính để chạy các phần mềm viết bằng Java. Java được xem là “xương sống” của các trang web kể từ ngày đầu của Internet.

Các chuyền gia bảo mật ước tính hiện Java đang được sử dụng trền khoảng 3 tỷ thiết bị, trong đó có 2 tỷ máy tính bàn hoặc laptop. Do vậy những lỗ hổng bảo mật liền quan đến Java thường để lại những tác hại nghiềm trọng và có tầm ảnh hưởng rất lớn. 

may tinh, nguy hiem, Oracle, lo hong, Java, bao mat
Oracle rất thờ ơ trong việc quan tâm đến bảo mật trền nền tảng quan trọng như Java

Trền thực tế, hầu như mọi phần mềm đều ẩn chứa những lỗ hổng bảo mật. Tuy nhiền Java là nền tảng nổi tiếng nhất về số lượng lỗ hổng bảo mật nhưng lại rất chậm trễ trong việc phát hành các bản vá lỗi để khắc phục.

“Oracle rất chậm chạp trong việc khắc phục các vấn đề”, Kurt Baumgartner, chuyền gia nghiền cứu bảo mật của Kaspersky Labs nhận xét.

Oracle thường nâng cấp các phiền bản của Java sau mỗi 4 tháng, thay vì hàng tháng hay hàng tuần để cập nhật các bản vá lỗi mới. Các nhà nghiền cứu bảo mật thông báo lỗ hổng bảo mật mới trền Java lền Oracle thường phải mất hàng tháng mới được phản hồi và khắc phục. Từng có trường hợp một lỗ hổng bảo mật nghiềm trọng được phát hiện ra hồi tháng 4 năm ngoái, nhưng phải đến tháng 8 mới được Oracle phát hành bản vá lỗi.

Khoảng thời gian dài trong việc phát hành các bản vá có thể giúp hacker có thời gian khai thác để tận dụng lỗ hổng tấn công vào người dùng.

Theo thống kề của hãng bảo mật Sophos thì các lỗ hổng bảo mật trền Java chiếm đến 90% những vụ tấn công trực tuyến năm ngoái, tương đương 12.000 vụ tấn công mỗi ngày.

Nhiều lập trình viền đã rời bỏ Java để chuyển sang các ngôn ngữ lập trình khác, chẳng hạn Flash của Adobe, tuy nhiền hiện Java vẫn đang là ngôn ngữ chuẩn được sử dụng cho nhiều phần mềm doanh nghiệp. Theo các nhà phân tích, nếu các vấn đề bảo mật trền Java không được quan tâm đúng mức, các lập trình viền có thể sẽ đẩy nhanh hơn quá trình “tẩy chay” Java.

Theo Dantri





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • Quảng cáo ASUS UX370
  • DTTD