CERT Advisory CA-2008-24 (Technical Cyber Security Alert TA08-193A)
Sun Java Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA08-193A.html
เรียบเรียงโดย: กฤดากร หิรัญพฤกษ์

ระบบที่ได้รับผลกระทบ

Sun Java Runtime Environment เวอร์ชันดังต่อไปนี้

• JDK and JRE 6 Update 6 และเวอร์ชันก่อนหน้า
• JDK and JRE 5.0 Update 16 และเวอร์ชันก่อนหน้า
• SDK and JRE 1.4.2_17 และเวอร์ชันก่อนหน้า
• SDK and JRE 1.3.1_22 และเวอร์ชันก่อนหน้า
  

กล่าวโดยทั่วไป

มีการค้นพบช่องโหว่ของ Sun Java Runtime Environment เป็นจำนวนมาก ซึ่งเปิดโอกาสให้ผู้บุกรุกที่ไม่จำเป็นต้องทำการพิสูจน์ตัวตนสามารถสั่งรันคำสั่งของระบบจากระยะไกลได้

I. คำอธิบาย

Sun Java Runtime Environment (JRE) เป็นซอฟต์แวร์ที่ช่วยให้ผู้ใช้สามารถทำการรันแอพพลิเคชันที่เขียนด้วย Java บนเว็บบราวเซอร์หรือรันแบบโปรแกรมทั่วไป โดยทางบริษัท Sun ได้ทำการออกโปรแกรมซ่อมแซมช่องโหว่จำนวนหลายช่องโหว่สำหรับ Java Runtime Environment สำหรับรายละเอียดเพิ่มเติมของช่องโหว่ต่างๆ สามารถอ่านได้จากเอกสาร Vulnerability Notes

บริษัท Sun ได้ทำการแจ้งเตือนปัญหาช่องโหว่ต่างๆ ดังนี้

• 238628 Security Vulnerabilities in the Java Runtime Environment related to the processing of XML Data
• 238666 A Security Vulnerability with the processing of fonts in the Java Runtime Environment may allow Elevation of Privileges
• 238687 Security Vulnerabilities in the Java Runtime Environment Scripting Language Support
• 238905 Multiple Security Vulnerabilities in Java Web Start may allow Privileges to be Elevated
• 238965 Security Vulnerability in Java Management Extensions (JMX)
• 238966 Security Vulnerability in JDK/JRE Secure Static Versioning
• 238967 Security Vulnerability in the Java Runtime Environment Virtual Machine may allow an untrusted Application or Applet to Elevate Privileges
• 238968 Security Vulnerabilities in the Java Runtime Environment may allow Same Origin Policy to be Bypassed

II. ผลกระทบ

หากผู้ใช้ทำการรันแอพพลิเคชัน Java ที่ถูกสร้างขึ้นเพื่อใช้ในการโจมตี จะทำให้ผู้บุกรุกที่ไม่จำเป็นต้องทำการพิสูจน์ตัวตนสามารถสั่งรันคำสั่งของระบบจากระยะไกลได้

III. วิธีแก้ไข

ติดตั้งโปรแกรมซ่อมแซมช่องโหว่จาก Sun

ปัญหาช่องโหว่เหล่านี้ได้ถูกแก้ไขใน Sun Java Runtime Environment เวอร์ชันดังต่อไปนี้

• JDK and JRE 6 Update 7
• JDK and JRE 5.0 Update 16
• SDK and JRE 1.4.2_18
• SDK and JRE 1.3.1_23
  

อย่างไรก็ตาม ถึงแม้ว่าผู้ใช้จะทำการติดตั้ง Java เวอร์ชันล่าสุดลงไปในระบบแล้ว Java เวอร์ชันเก่าอาจยังอยู่ในระบบ ซึ่งถ้าไม่มีความจำเป็นต้องใช้งาน Java เวอร์ชันเก่าแล้ว ควรทำการลบออกจากระบบ สำหรับขั้นตอนการลบ Java เวอร์ชันเก่าออกจากระบบสามารถศึกษาเพิ่มเติมได้จากเอกสารของ Sun

ปิดการใช้งาน Java

ทำการปิดการใช้งาน Java บนเว็บบราวเซอร์ โดยขั้นตอนเหล่านี้ถูกกล่าวไว้ในเอกสาร Securing Your Web Browser ถึงแม้ว่าการปิดการใช้งาน Java นั้นไม่ได้เป็นการแก้ไขช่องโหว่ที่มีอยู่ แต่จะช่วยป้องกันการโจมตีต่างๆ ที่จะอาศัยช่องโหว่เหล่านี้

IV. References

• Securing Your Web Browser - <http://www.us-cert.gov/reading_room/securing_browser/>
• Sun Alert 238628 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238628-1>
• Sun Alert 238666 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238666-1>
• Sun Alert 238687 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238687-1>
• Sun Alert 238905 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238905-1>
• Sun Alert 238965 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238965-1>
• Sun Alert 238966 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238966-1>
• Sun Alert 238967 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238967-1>
• Sun Alert 238968 - <http://sunsolve.sun.com/search/document.do?assetkey=1-66-238968-1>
• Java SE Technologies at a Glance - <http://java.sun.com/javase/technologies/>
• Java SE Security - <http://java.sun.com/javase/technologies/security/index.jsp>
• Can I remove older versions of the JRE after installing a newer version? - <http://www.java.com/en/download/faq/5000070400.xml>

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์