יממה אחרי: פירצת אבטחה חדשה ב-Java נמכרה תמורת 5,000 דולרים

מנהל בפורום אבטחת מידע מחתרתי הוציא למכירה קוד מקור המנצל פירצת אבטחה חדשה בג’אווה. האם צריך להיזהר או שמא מדובר בתחבולה?

מקור: צילום מסך

ביום ראשון, אורקל שחררה את עדכון מס’ 11 לג’אווה גירסא 7 על מנת לתת מענה לפירצות האבטחה שנחשפו לאחרונה, אשר אפשרו לתוקפים לבצע תוכנה זדונית במחשב הקורבן. על פי דיווחים שונים ברשת, ביום שני, פושעים המסתובבים במקומות אפלים ברחבי הרשת נחשפו מוכרים פירצת אבטחה המנצלת פירצת 0day שונה אשר אינה ידועה ועל כן לא קיים לה תיקון מתאים, בגירסא האחרונה של ג’אווה.

כמה תשלמו עבור פירצת אבטחה בג’אווה?

מומחה האבטחה בריאן קרבס גילה כי פירצת אבטחה חדשה מסוג 0day התגלתה וכי קוד המקור של הפירצה מוצע למכירה ברחבי הרשת. מנהל ראשי בפורום פשעי אינטרנט אלמוני אך מוכר למומחי האבטחה פרסם הודעה, בה הוא מוכר את הקוד המנצל את הפירצה אשר לטענתו לא תוקנה על ידי אורקל, במחיר של 5,000 דולרים ליחידה עבור שני קונים בלבד. כמו כן, המוכר טען כי כבר מכר את קוד המקור ללקוח נוסף אשר שילם את הסכום הרצוי.

קרבס הזהיר: “לעניות דעתי, הפירצה אמורה לפזר את האשליות אשר סמכו על הבטיחות והביטחון של התקנת מערכת ג’אווה על המחשב האישי מבלי לנקוט בצעדי זהירות מתאימים בכדי לבודד את היישום.” בעוד קרבס מודה שהוא לא יכול לאשר אם הפירצה אכן קיימת, הוא מגבה את עמדתו בכך ש”מנהל פורום בגודל כזה לא יבצע הונאה כזו למשתמשים שלו, במיוחד לא עבור סכום קטן בגובה של 5,000 דולרים”

מה קורה עם ג’אווה?

פירצות האבטחה בג’אווה הפכו לנושא חם (מידי), לאחר שהתגלה כי נעשה בהן שימוש וכי הפך לזמין בערכות תקיפה פופולריות. הפירצה האחרונה, ככל הנראה, עדיין לא מהווה חלק מהערכות הללו, למרות שהמוכר הבטיח לספק את קוד המקור של הפירצה למי שמוכן לשלם עליו, כך שסביר להניח שערכות הנושאות את פירצת האבטחה האחרונה יופצו בזמן הקרוב.

אורקל זכתה לביקורת רבה בעבר על כך שהיא לא מגיבה מספיק מהר לבעיות האבטחה בג’אווה. למרות התיקון המהיר לפירצת האבטחה שדווחה בשבוע שעבר, נראה שהבעיות העומדות בפני אורקל גדולות הרבה יותר.

מוקדם יותר השבוע, HD Moore, קצין הביטחון הראשי בחברת האבטחה המקוונת Rapid7, אמר לרויטרס כי לאורקל עלול לקחת שנים בכדי לתקן את כל פירצות האבטחה אשר זוהו בג’אווה בעת השימוש בדפדפני אינטרנט: “הדבר הבטוח ביותר לעשות בשלב זה הוא רק להניח כי ג’אווה תמיד הולכת להיות פגיעה. המשתמשים לא ממש זקוקים לג’אווה על גבי המחשב השולחני שלהם”.

על פי הדיווחים, ההודעה בפורום נמחקה בינתיים, כך שנראה כי המוכר השיג את שלו. מפאת הפרסומים האחרונים בנושא, אנו נאלצים להסכים עם מר Moore וממליצים להשעות כל פעילות של Java מהמחשבים שלכם עד שיתבהרו העניינים לגמרי.

אבישי בר

מנהל מוצר. מפתח Web ו-React Native, חולה גאדג'טים, הולך נגד הזרם ואוהב את כל מה שקשור לגוגל, לאנדרואיד ולקוד פתוח. עיסוקו העיקרי הוא לפרק לחלקים כל צעצוע חדש שמגיע למשרד ואז לכתוב עליו מדריך.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה:

נותרו עוד
00
ימים
:
00
שעות
:
00
דקות
:
00
שניות
לכנס המפתחים הגדול בישראל