Lỗi nguy hiểm trong Java bị khai thác rộng rãi

98

Lỗi bảo mật dạng zero-day (0-day) chưa có bản vá trong phiên bản Java 6 đang bị khai thác tấn công rộng rãi. Oracle lên tiếng cảnh báo, nhưng Java 6 (6u45) không còn được hỗ trợ từ tháng 4 năm 2013, các quản trị viên cần nâng cấp ngay lên Java 7 bởi vì nó giải quyết tất cả các lỗ hổng đã biết. Với người dùng cá nhân, Java thường ít được sử dụng, ngoại trừ một số website yêu cầu kích hoạt thành phần Java để chạy một số tính năng, do đó, người dùng nên gỡ bỏ Java ra khỏi hệ thống để tránh bị tổn hại từ lỗi bảo mật. Thông qua phân tích của Websense chúng ta thống kê được  :

  • Chỉ có 19 % doanh nghiệp sử dụng máy tính hệ điều hành Windows chạy phiên bản mới nhất của Java (7u25) từ ngày 01- 29 Tháng 8 năm 2013.
  • Hơn 40% của doanh nghiệp vẫn còn sử dụng Java 6. Kết quả là, hơn 80 % dễ bị khai thác hai lỗ hổng Java phổ biến : CVE-2013-2473 và CVE-2013-2463.

83.86% các trình duyệt doanh nghiệp có kích hoạt Java.

p1

Lỗi bảo mật trong Java 6 (CVE-2013-2463) được cảnh báo bị khai thác lần đầu tiên bởi chuyên viên phân tích Timo Hirvonen từ hãng bảo mật F-Secure. Oracle cũng đã xác nhận về lỗi trên trong Java 6. Ngay sau đó, cách khai thác lỗi này đã được tích hợp vào công cụ khai thác lỗi Neutrino, khiến mức độ tấn công nhanh chóng lan tỏa. Các chuyên gia từ Qualys cảnh báo về phạm vi ảnh hưởng “có thể rất lớn”. Lỗ hổng bảo mật của java cho phép hacker có thể thực hiện mã lệnh tùy ý từ xa khai thác chiếm quyền điều khiển máy tính, bằng cách cài đặt mã độc lên website đã chiếm quyền điều khiển và lừa cho người dùng sử dụng dính lỗi java 0-day truy cập vào website sau đó thực hiện khai thác lỗ hổng java 0-day thực hiện hành vi đánh cắp thông tin đánh cắp thông tin của các nạn nhân, phát tán và lây lan mã độc…Người sử dụng nên cài đặt  add-on BrowserCheck của Qualys đây là dịch vụ hỗ trợ scan lỗ hổng  và download cập nhật bản vá lỗi mới nhất. Tải add-on BrowserCheck tại đây : https://browsercheck.qualys.com/

Hướng dẫn gỡ bỏ java ra khỏi các trình duyệt :

p2

Đi tiên phong trong việc này là Apple và Mozilla. “Táo khuyết” đã vô hiệu hóa plugin Java 7 trên OS X; còn  Mozilla đưa các  add-on Java 7 Update 9, Java 7 Update 10, Java 6 Update 37, and Java 6 Update 38 vào “danh sách đen” không cho tải về. Bởi thế, người dùng cần vô hiệu hóa Java trên trình duyệt của mình để tránh các nguy cơ bị tấn công trong khi chờ đợi 1 phiên bản cập nhật Java có thể vá các lỗ hổng bảo mật.

Chrome

p3

Với người dùng Chrome, bạn cần truy cập vào địa chỉ “chrome://plugins”. Tại cửa sổ giao diện, bạn tìm đến các mục có từ “Java” và click vào nút “Disable” (vô hiệu hóa). Sau đó bạn khởi động lại trình duyệt để các thay đổi có hiệu lực.

Safari

Với người dùng Safari, bạn chọn “Safari” sau đó chọn tới trang “Preferences” trên thanh tác vụ, chọn thẻ Security, bỏ chọn ở box cạnh hộp “Enable Java” để vô hiệu hóa Java. Như đã nói trên thì Apple đã không còn hỗ trợ Java trên OS X và 1 phiên bản update hồi tháng 10 năm ngoái đã gỡ phần mềm Java ra khỏi các máy Mac chạy HĐH OS X Lion và Mountain Lion.

Internet Explorer 8, 9, và 10

p4

Bạn tìm đến menu “Tools”, chọn thẻ “Manage Add-ons”, ở mục “Show” bên trái cửa sổ bạn chọn “All Add-ons” ở menu xổ xuống. Lúc này tất cả các plugin trên trình duyệt sẽ hiện ra. Bạn click vào nút Disable với plugin có tên “Java Plug-in …số phiên bản”. Bạn cũng nên vô hiệu hóa các plugin khác có tên bắt đầu bằng Java.

Firefox

Bạn vào menu “Tools”, chọn “Add-ons”, chọn mục “Plug-ins” bên tay trái cửa sổ hiện ra, sau đó cũng click nút “Disable” vào các mục có tên “Java (TM) Platform…” và khởi động lại trình duyệt. Một lựa chọn nữa là người dùng có thể gỡ bỏ hoàn toàn Java ra khỏi máy, tuy nhiên có lẽ điều này là không thực sự cần thiết thậm chí nó có thể ảnh hưởng tới quá trình sử dụng máy tính của bạn (1 số phần mềm sẽ cần tới Java). Tuy nhiên nếu bạn vẫn muốn gỡ Java ra khỏi máy, bạn có thể truy cập vào Control Panel, click vào mục Add/Remove Programs để truy cập vào trình gỡ bỏ các phần mềm trên máy (tùy vào từng phiên bản Windows mà cách truy cập vào trình gỡ phần mềm sẽ có đôi chút khác nhau), sau đó tiến hành xóa Java hoàn toàn khỏi máy tính của mình.

p5

Dưới đây là link tổng hợp các bản vá lỗi và các lỗi tương ứng : http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html#PatchTable