Java cập nhật bản vá cho 19 lỗ hổng, vô hiệu hóa SSL 3.0

Oracle phát hành bản cập nhật bảo mật mới cho Java, vá 19 lỗ hổng bảo mật và vô hiệu hóa mặc định hỗ trợ cho SSL 3.0, một phiên bản lỗi thời của các giao thức truyền thông bảo mật dễ bị tấn công.

Các bản cập nhật này là một phần của Cập nhật bản vá quan trọng hàng quý của Oracle, phát hành hôm thứ ba (20/1), sửa chữa 169 vấn đề an ninh trên hàng trăm sản phẩm.

14 trong số 19 lỗ hổng đã được sửa chữa trong Java ảnh hưởng đến thông tin khách hàng và có thể được khai thác từ các trang web độc hại thông qua các Java applet hay các ứng dụng Java Web Start. 4 trong số đó có mức độ nguy hại ở mức tối đa là 10 trong hệ thống chấm điểm Common Vulnerability Scoring System (CVSS) và 2 lỗ hổng khác gần đạt 9,3, có nghĩa là chúng có thể dẫn đến sự xâm nhập hệ thống hoàn toàn.

“Các mối đe dọa liên quan đến lỗ hổng sandbox bypass trong chuỗi CPU này [Oracle Critical Patch Update – bản thu thập các bản vá lỗi] từ việc đọc và ghi dữ liệu tại chỗ để hoàn thành ‘tiếp quản hệ điều hành bao gồm thực thi mã tùy ý'”, John Matthew Holt, CTO của công ty bảo mật ứng dụng Java Waratek cho biết qua email. “Các lỗ hổng đảm nhận tiếp quản hệ điều hành là loại tồi tệ nhất, bởi vì những kẻ tấn công có thể sử dụng các lỗ hổng không chỉ để đánh cắp dữ liệu nhạy cảm hoặc bí mật, mà còn để cài đặt phần mềm độc hại, đánh cắp mật khẩu, giả mạo danh tính của người dùng, xóa các tập tin, và sử dụng các máy bị xâm nhập như là một bàn đạp để khởi động các cuộc tấn công sâu hơn vào các máy khác trong cùng một mạng nội bộ”.

Số lượng các cuộc tấn công khai thác lỗ hổng Java để cài đặt phần mềm độc hại trên máy tính đã trên đà suy giảm ổn định trong năm qua, nhưng khai thác Java vẫn là một mục tiêu tấn công hàng đầu đối với người dùng Web, theo một báo cáo phát hành hôm thứ Ba (20/1) bởi Cisco Systems.

Một thay đổi khác liên quan đến an ninh trong các bản cập nhật Java mới là vô hiệu hóa giao thức SSL 3.0 mặc định để đáp ứng với các lỗ hổng POODLE được phát hiện trong tháng 10/2014. Lỗ hổng này cho phép những kẻ tấn công man-in-the-middle giải mã các thông tin nhạy cảm như cookie xác thực từ một kết nối được mã hóa với SSL 3.0.

Điều làm cho POODLE đặc biệt nguy hiểm là ngay cả khi một kết nối sử dụng TLS 1.0, 1.1 hoặc 1.2, kẻ tấn công có thể đánh hạ nó với SSL 3.0 nếu cả máy con và máy chủ hỗ trợ giao thức lão hóa.

Có sự thay đổi trong Java bởi các nhà cung cấp trình duyệt lớn đang có những động thái tương tự nhằm hỗ trợ cho SSL 3.0.

“Nếu SSLv3 là hoàn toàn cần thiết, giao thức có thể được kích hoạt bằng cách loại bỏ ‘SSLv3’ từ đặc tính jdk.tls.disabledAlgorithms trong file java.security hoặc bằng cách tự động thiết lập đồng ý đặc tính bảo mật này trước khi JSSE được khởi tạo”, Oracle cho biết trong các ghi chú phát hành Java mới.

Các phiên bản Java được vá mới là 5.0u81, 6u91, 7u75/7u76 và 8u31, nhưng bản cập nhật Java 5 và 6 chỉ dành cho khách hàng của Oracle với các hợp đồng hỗ trợ dài hạn.

Đây cũng là bản cập nhật an ninh công khai cuối cùng cho Java 7. Người dùng có tính năng cập nhật tự động bật sẽ được chuyển đến Java 8. Chỉ người dùng có hợp đồng hỗ trợ lâu dài mới có thể tải bản sửa lỗi bảo mật Java 7.

Pcworld