اصلاحیه Adobeشرکت Adobe برای ترمیم یک نقطه ضعف امنیتی در نرم افزار Flash Player اصلاحیه فوق العاده و نسخه به روز شده ای از این نرم افزار را منتشر کرد. از این نقطه ضعف جدید و تابحال ناشناخته برای نفوذ به سیستم مراجعه کنندگان به سایت سه موسسه تحقیقات سیاسی و اجتماعی سوءاستفاده شده است. مشاهدات اولیه نشان دهنده دخالت گروه های نفوذگر چینی در این حملات جدید است.
اصلاحیه مایکروسافتتعداد اندک و درجه اهمیت پایین اصلاحیه های این ماه مایکروسافت به حدی است که بسیاری از کارشناسان امنیتی به مدیران شبکه و کاربران توصیه می کنند تا ابتدای به نصب و اعمال اصلاحیه های Oracle و Adobe بپردازند و سپس به سراغ اصلاحیه های مایکروسافت بیایند. از لحاظ آماری هم در سال میلادی گذشته 2013، نرم افزارهای Java ،Acrobat و Flash درصدر فهرست نرم افزارهایی بودند که بیشترین حملات سایبری و نفوذی علیه آنها صورت گرفته است.
روز سه شنبه 24 دی ماه، شرکت Oracle در یک اقدام بی سابقه، 147 اصلاحیه برای ترمیم انواع نقاط ضعف در محصولات نرم افزاری خود منتشر کرد. از جمله 36 اصلاحیه برای محصول پرطرفدار و مشهور Java ارائه شده است. شرکت Oracle در اطلاعیه ای اعلام کرد که 36 اصلاحیه برای نرم افزار Java SE عرضه خواهد کرد که سوءاستفاده از 34 مورد از آنها، بدون نیاز به مجوزهای دسترسی و تائید هویت، از داخل شبکه محلی امکان پذیر است.
علیرغم تلاش شرکت Oracle در شش ماه گذشته در جهت افزایش ضریب ایمنی نرم افزار Java، حفره های امنیتی در این نرم افزار همچنان یکی از بزرگترین خطرات امنیتی برای شبکه های سازمانی به شمار می آیند. شرکت Bit9 اخیراً گزارش تکان دهنده ای از وضعیت Java در شبکه های سازمانی منتشر کرده است. این گزارش که حاصل آمار و اطلاعات جمع آوری شده از یک میلیون کامپیوتر در بیش از 400 موسسه و شرکت است، تصویر بسیار نگران کننده و هشدار دهنده ای را ترسیم می کند.
یک نقطه ضعف جدید در نرم افزار Java نسخه 7 کشف و شناسایی شده که امکان دور زدن راهکارهای امنیتی در این نرم افزار را فراهم کرده و نفوذگران را قادر می سازد تا دستورات و فرامین غیرمجاز خود را بر روی سیستم آسیب پذیر اجرا نمایند. نقطه ضعف کشف شده در بخش Reflection API قرار دارد. این قابلیت نرم افزاری در نسخه 7 به Java اضافه شده و تابحال نیز منبع و منشاء چندین نقطه ضعف امنیتی Java بوده است.
شرکت Oracle در نظر دارد تا تغییراتی را به منظور افزایش امنیت Java ایجاد کند. نحوه کنترل گواهی های دیجیتالی منقضی شده، جلوگیری از اجرای خودکار برنامه های Java که فاقد گواهی هستند و همچنین اضافه کردن قابلیت تعریف “فهرست سفید” (White-Listing) با امکانات مدیریت متمرکز برای شبکه های سازمانی، از جمله تغییراتی است که قرار است در Java ایجاد شود.
شاید تصمیم جدید شرکت Oracle به شدت تصمیم شرکت مایکروسافت که تولید نرم افزارهای خود را در زمان اجرای طرح ایمن سازی Trustworthy Computing به طور کامل متوقف کرد، نباشد ولی شروع خوبی است.
طبق اعلام مسئولان Oracle، انتشار نسخه جدید نرم افزار Java 8 تا ابتدای سال میلادی آینده به تاخیر خواهد افتاد. به جای اختصاص نیرو و زمان برای توسعه و تولید نسخه جدید Java 8، تمرکز Oracle بر روی ایمن سازی این نرم افزار خواهد بود.
یکی از نقاط ضعفی که اخیراً توسط شرکت Oracle در نرم افزار Java اصلاح و ترمیم شده، اکنون مورد سوء استفاده در حملات گسترده قرار گرفته است. در این حملات، قربانیان آلوده به بدافزاری می شوند که کامپیوتر آنان را قفل کرده و با ادعای اینکه کاربر اعمال خلاف بر روی اینترنت انجام می داده، از کاربر خواسته می شود تا جریمه ای برای آزاد کردن کامپیوترش پرداخت کند.
روز سه شنبه 27 فروردین، شرکت Oracle نسخه جدیدی از نرم افزار Java را منتشر کرد که در آن 42 نقطه ضعف امنیتی اصلاح شده است. همچنین در نسخه جدید، نحوه پردازش و نمایش برنامه های Java در مرورگرها تغییر داده شده است.
از 42 نقطه ضعف اصلاح شده در نسخه جدید Java 7 Update 21 تقریبا همه آنها (39 مورد) بدون نیاز به تائید هویت (authentication) قابل سوء استفاده از راه دور هستند. تعدای از این نقاط ضعف، بالاترین درجه اهمیت را در سیستم رتبه بندی Oracle دارند.
نرم افزار Java فقط توانست 72 ساعت دوام بیاورد و یکبار دیگر نقطه ضعفی جدید در این نرم افزار کشف و شناسایی شد.
طبق گزارش شرکت امنیتی FireEye نقطه ضعف جدید مورد سوء استفاده نفوذگران قرار گرفته و از این طریق کامپیوتر کاربرانی که مرورگر آنها حتی دارای Java 6 Update 41 و یا Java 7 Update 15 می باشند، مورد حمله و نفوذ قرار گرفته اند.
اصلاحیه Adobeشرکت Adobe برای ترمیم یک نقطه ضعف امنیتی در نرم افزار Flash Player اصلاحیه فوق العاده و نسخه به روز شده ای از این نرم افزار را منتشر کرد. از این نقطه ضعف جدید و تابحال ناشناخته برای نفوذ به سیستم مراجعه کنندگان به سایت سه موسسه تحقیقات سیاسی و اجتماعی سوءاستفاده شده است. مشاهدات اولیه نشان دهنده دخالت گروه های نفوذگر چینی در این حملات جدید است.
اصلاحیه مایکروسافتتعداد اندک و درجه اهمیت پایین اصلاحیه های این ماه مایکروسافت به حدی است که بسیاری از کارشناسان امنیتی به مدیران شبکه و کاربران توصیه می کنند تا ابتدای به نصب و اعمال اصلاحیه های Oracle و Adobe بپردازند و سپس به سراغ اصلاحیه های مایکروسافت بیایند. از لحاظ آماری هم در سال میلادی گذشته 2013، نرم افزارهای Java ،Acrobat و Flash درصدر فهرست نرم افزارهایی بودند که بیشترین حملات سایبری و نفوذی علیه آنها صورت گرفته است.
روز سه شنبه 24 دی ماه، شرکت Oracle در یک اقدام بی سابقه، 147 اصلاحیه برای ترمیم انواع نقاط ضعف در محصولات نرم افزاری خود منتشر کرد. از جمله 36 اصلاحیه برای محصول پرطرفدار و مشهور Java ارائه شده است. شرکت Oracle در اطلاعیه ای اعلام کرد که 36 اصلاحیه برای نرم افزار Java SE عرضه خواهد کرد که سوءاستفاده از 34 مورد از آنها، بدون نیاز به مجوزهای دسترسی و تائید هویت، از داخل شبکه محلی امکان پذیر است.
علیرغم تلاش شرکت Oracle در شش ماه گذشته در جهت افزایش ضریب ایمنی نرم افزار Java، حفره های امنیتی در این نرم افزار همچنان یکی از بزرگترین خطرات امنیتی برای شبکه های سازمانی به شمار می آیند. شرکت Bit9 اخیراً گزارش تکان دهنده ای از وضعیت Java در شبکه های سازمانی منتشر کرده است. این گزارش که حاصل آمار و اطلاعات جمع آوری شده از یک میلیون کامپیوتر در بیش از 400 موسسه و شرکت است، تصویر بسیار نگران کننده و هشدار دهنده ای را ترسیم می کند.
یک نقطه ضعف جدید در نرم افزار Java نسخه 7 کشف و شناسایی شده که امکان دور زدن راهکارهای امنیتی در این نرم افزار را فراهم کرده و نفوذگران را قادر می سازد تا دستورات و فرامین غیرمجاز خود را بر روی سیستم آسیب پذیر اجرا نمایند. نقطه ضعف کشف شده در بخش Reflection API قرار دارد. این قابلیت نرم افزاری در نسخه 7 به Java اضافه شده و تابحال نیز منبع و منشاء چندین نقطه ضعف امنیتی Java بوده است.
شرکت Oracle در نظر دارد تا تغییراتی را به منظور افزایش امنیت Java ایجاد کند. نحوه کنترل گواهی های دیجیتالی منقضی شده، جلوگیری از اجرای خودکار برنامه های Java که فاقد گواهی هستند و همچنین اضافه کردن قابلیت تعریف “فهرست سفید” (White-Listing) با امکانات مدیریت متمرکز برای شبکه های سازمانی، از جمله تغییراتی است که قرار است در Java ایجاد شود.
شاید تصمیم جدید شرکت Oracle به شدت تصمیم شرکت مایکروسافت که تولید نرم افزارهای خود را در زمان اجرای طرح ایمن سازی Trustworthy Computing به طور کامل متوقف کرد، نباشد ولی شروع خوبی است.
طبق اعلام مسئولان Oracle، انتشار نسخه جدید نرم افزار Java 8 تا ابتدای سال میلادی آینده به تاخیر خواهد افتاد. به جای اختصاص نیرو و زمان برای توسعه و تولید نسخه جدید Java 8، تمرکز Oracle بر روی ایمن سازی این نرم افزار خواهد بود.
یکی از نقاط ضعفی که اخیراً توسط شرکت Oracle در نرم افزار Java اصلاح و ترمیم شده، اکنون مورد سوء استفاده در حملات گسترده قرار گرفته است. در این حملات، قربانیان آلوده به بدافزاری می شوند که کامپیوتر آنان را قفل کرده و با ادعای اینکه کاربر اعمال خلاف بر روی اینترنت انجام می داده، از کاربر خواسته می شود تا جریمه ای برای آزاد کردن کامپیوترش پرداخت کند.
روز سه شنبه 27 فروردین، شرکت Oracle نسخه جدیدی از نرم افزار Java را منتشر کرد که در آن 42 نقطه ضعف امنیتی اصلاح شده است. همچنین در نسخه جدید، نحوه پردازش و نمایش برنامه های Java در مرورگرها تغییر داده شده است.
از 42 نقطه ضعف اصلاح شده در نسخه جدید Java 7 Update 21 تقریبا همه آنها (39 مورد) بدون نیاز به تائید هویت (authentication) قابل سوء استفاده از راه دور هستند. تعدای از این نقاط ضعف، بالاترین درجه اهمیت را در سیستم رتبه بندی Oracle دارند.
نرم افزار Java فقط توانست 72 ساعت دوام بیاورد و یکبار دیگر نقطه ضعفی جدید در این نرم افزار کشف و شناسایی شد.
طبق گزارش شرکت امنیتی FireEye نقطه ضعف جدید مورد سوء استفاده نفوذگران قرار گرفته و از این طریق کامپیوتر کاربرانی که مرورگر آنها حتی دارای Java 6 Update 41 و یا Java 7 Update 15 می باشند، مورد حمله و نفوذ قرار گرفته اند.
عضویت در خبرنامه
"*"فیلدهای ضروری را نشان می دهد
بازنشر مطالب صرفا با ذکر نام “شرکت مهندسی شبکه گستر” مجاز است. کلیه حقوق این سایت برای شرکت مهندسی شبکه گستر محفوظ می باشد.
