أصدرت شركة Oracle بتاريخ البارحة و المصادف 15/2/2011 تحديث لاصلاح احدى و عشرين ثغرة أمنية في كل من منتجاتها الشهيرة Java SE و Java Business تمكن المهاجم من تنفيذ أكواد ضارة على جهاز الهدف و تقود الى Code Execution Attack.
قيمت شركة Oracle خطورة هذه الثغرات 10/10 , أعلى تقييم , أي أنها خطيرة جدا.
بالامكان تلخيص هذه الثغرات على النحو التالي:
- 13 ثغرة من أصل 21 أصابت Jave client deployment – أصدارات العميل.
- 12 ثغرة من هذه الـ13 بالامكان استغلالها على شكل تطبيق ويب خبيث (Java Web Applet) معد بشكل خاص لاستغلال الثغرة. تعمل هذه الثغرات داخل تقنية SandBox بحيث يحصل المهاجم على صلاحيات قليلة و لا تمكنه من التحكم بالجهاز بشكل كامل.
- واحدة من الـ13 ثغرة يمكن استغلالها على شكل برنامج مستقل.
- ثلاثة من الـ21 تصيب كلا اصداري العميل (Client) و الخادم (Server).
- ثلاثة من الـ21 تصيب اصدارات الخوادم فقط (Server Deployments).
- و أخيرا واحدة من الـ21 اصابت Java DB.
مما لا شك فيه فقد تم تصنيف التحديث على أنه هام جدا. تنصح شركة Oracl المستخدمين بتفيعل خاصية التحديث التلقائي بحيث يتم تركيب أي تحديث جديد مباشرة فورة صدوره , و لكننا لا ننصح بتفعيل هذه الخاصية حيث شاهدنا سابقا امكانية عمل تحديث مزيف للجافا باستخدام برنامج Evilgrade و بالتالي اختراق الجهاز , لهذا فنحن ننصح المستخديمن بتحديث أحهزتهم بشكل يدوي و الاطلاع على كل تحديث قبل تركيبه بدلا من تفعيل خاصية التحديث التلقائي.
للمزيد من المعلومات: February 2011 java se and java
what about beef ?
شكرا على الخبر أخي ..
درهم وقاية خير من قنطار علاج أرى أن الشركات الكبرى مثل أوراكل ستستفيد من أخطاءها الأمنية و قريبا سيصعب اكتشاف ثغرات في منتجاتها ….