نقاط ضعف در جدیدترین نسخه Java
شرکت امنیتی Security Exploration اعلام کرد که دو نقطه ضعف تا به حال ناشناخته را در جدیدترین نسخه نرم افزار Java که چند روز قبل توسط شرکت Oracle منتشر شد، کشف کرده است. با سوء استفاده همزمان از این دو نقطه ضعف، می توان امکان امنیتی Sandbox را در این نرم افزار دور زد و هر گونه دستور و فرمانی را بر روی کامپیوتر آسیب پذیر اجرا نمود.
نسخه 11 از نرم افزار Java 7، جدیدترین نسخه این نرم افزار است که چند روز قبل به طور فوق العاده برای ترمیم یک نقطه ضعف حیاتی که مورد سوء استفاده گسترده در اینترنت قرار گرفته بود، منتشر شد.
طبق اعلام مسئولان شرکت Security Exploration جزئیات این نقاط ضعف در اختیار شرکت Oracle گذاشته است. چند شرکت امنیتی دیگر هم طی روزهای گذشته، ادعاهایی را درباره کشف نقاط ضعف جدید در نرم افزار Java مطرح کرده اند که هنوز اخبار دقیقی درباره آنها در دسترس نیست.
مقامات وزارت امنیت داخلی آمریکا با انتشار اطلاعیه ای، ضمن اطلاع رسانی درباره نسخه جدید منتشر شده Java، کماکان به کاربران توصیه می کنند که Java را کنار بگذارند و آن را بر روی کامپیوترهای خود غیر فعال سازند.
همچنین به فاصله چند روز پس از اصلاح نقطه ضعف مهم در نرم افزار Java توسط شرکت Oracle، اکنون خبرهایی درباره کشف و فروش یک نقطه ضعف ناشناخته و جدید دیگر در این نرم افزار، منتشر شده است. طبق اطلاعات منتشر شده این نقطه ضعف حتی در نسخه اصلاح شده جدید (نسخه 7u11) نیز وجود دارد. این نقطه ضعف در بازار سیاه و زیر زمینی، به قیمت 5 هزار دلار برای فروش عرضه شده است.
در اطلاعیه ای که برای فروش این نقطه ضعف منتشر شده، آمده است که نقطه ضعف کاملاً جدید و ناشناخته است و جزئیات آن به همراه برنامه ای جهت سوء استفاده از نقطه ضعف، فقط به دو خریدار به قیمت 5 هزار دلار فروخته خواهد شد. اطلاعات و برنامه مربوط به این نقطه ضعف تا به حال فقط به یک نفر دیگر فروخته شده است.
هدف از فروش و عرضه محدود نقطه ضعف، سوء استفاده طولانی تر از آن توسط خریدار، قبل از کشف و شناسایی شدن آن است. در عین حال، عرضه محدود اطلاعات نقطه ضعف، باعث می شد تا از آن به طور گسترده سوء استفاده نشود و فقط کاربران محدودی در معرض تهدیدات ناشی از آن قرار گیرند.
از طرف دیگر قیمت نسبتاً ارزانی که بر روی این نقطه ضعف گذاشته شده، نشان می دهد که احتمالاً سوء استفاده از آن چندان آسان و علمی نیست و یا اصلاً کل داستان یک کلاهبرداری و سوء استفاده از سوژه Java باشد که در چند هفته گذشته در محافل امنیت IT، بسیار مطرح بوده است.
