Patch Java บางส่วนมีปัญหา ทำให้ยังมีช่องโหว่เก่า ที่ถูกโจมตีได้กว่า 30 เดือน

เนื่องจากมี Patch Oracle Java ก่อนหน้านี้บางตัวมีปัญหา ทำให้ผู้ใช้งาน เสี่ยงต่อการถูกโจมตีมานานกว่า  30 เดือน 

 

โดยทางบริษัท Polish ได้ค้นพบว่าช่องโหว่ Oracle Java SE Remote Security Vulnerability (CVE-2013-5838) ที่มีอายุกว่า 3 ปี ที่ถูกระบุว่าออก pacth แก้ไขไปแล้วเมื่อปี 2013 ยังคงมีปัญหา โดยทางทีมนักวิจัย ได้นำเอา proof-of-concept (PoC) ที่เคยสร้างเพื่อทดสอบปัญหาดังกล่าว มาแก้ไขเล็กน้อย เพียงแค่แก้ไข 4 ตัวอักษร และเปลี่ยนที่อยู่ url ที่เกี่ยวข้อง ก็สามารถทะลุ patch ป้องกันได้ แม้กระทั่ง Java version ล่าสุด

ดังนั้น ทางนักวิจัยจึงได้เผยแพร่ PoC version ใหม่นี้ออกมา โดยเป็นการโจมตีที่ทำให้ทะลุเกราะป้องกันของ Java ออกมาทำอันตรายเครื่องได้โดยตรง

 (complete Java security sandbox escape).” แต่ช่องโหว่นี้ยังไม่สามารถผ่านการป้องกัน Oracle’s click-to-play protections ทำให้ผุ้ใช้งานยังคงได้รับการแจ้งเตือนก่อนจะถูกโจมตี แต่ก็เป็นไปได้ที่จะมีช่องโหว่อื่นๆ ทีโจมตีทะลุ click to play หรือผู้ร้ายอาจใช้วิธีหลอกล่ออื่นๆ ในการหลอกผุ้ใช้ ให้รัน Java ที่มีช่องโหว่นี้จนได้

ทั้งนี้ทางทีมนักวิจัย ไม่แจ้งเตือน Oracle ล่วงหน้าเกี่ยวกับการแจก PoC ตัวใหม่นี้ เพราะถือว่าเคยแจ้งเตือนไปแล้วในเรื่องเดียวกันนี้ ก่อนหน้านี้

ทาง Oracle ยังไม่ได้ระบุว่า จะเร่งออก patch แบบด่วนออกมา หรือ ออกตามรอบปกติ ในวันที่ 19 เมษายนนี้

 

Ref.

http://arstechnica.com/security/2016/03/botched-java-patch-leaves-millions-vulnerable-to-30-month-old-attack/