Clear
Lead Graphic Papers

ระวังภัย ช่องโหว่ CVE-2012-4681 ใน Java 7

วันที่ประกาศ: 28 สิงหาคม 2555
ปรับปรุงล่าสุด: 24 ตุลาคม 2555
เรื่อง: ระวังภัย ช่องโหว่ CVE-2012-4681 ใน Java 7

ประเภทภัยคุกคาม:
Malicious Code, Intrusion

Share on Facebook Share on Twitter Share on Facebook

ข้อมูลทั่วไป

บริษัท FireEye ซึ่งเป็นบริษัทที่วิเคราะห์และพัฒนาเครื่องมือที่เกี่ยวข้องกับระบบ Security ได้ค้นพบการโจมตีผ่านช่องโหว่ของโปรแกรม Java Runtime เวอร์ชัน 7 Update 6 (build 1.7.0_06) โดยโจมตีผ่านการฝัง Java Applet ไว้ในเว็บไซต์ [1] ช่องโหว่ดังกล่าวนี้ถูกกำหนดหมายเลขเป็น CVE-2012-4681 [2]

ผลกระทบ

เมื่อผู้ใช้เข้าไปยังเว็บไซต์ที่มี Java Applet อันตรายอยู่ จะถูก Applet ดังกล่าวนี้ดาวน์โหลดโปรแกรมไม่พึงประสงค์มาติดตั้งลงในเครื่อง ดังรูปที่ 1 ซึ่งโปรแกรมดังกล่าวนี้เปิดโอกาสให้ผู้ไม่หวังดีสั่งประมวลผลคำสั่งอันตราย จากระยะไกลได้ (Remote Code Execution) [3]

Al2012co0018-1.png
รูปที่ 1 โปรแกรมไม่พึงประสงค์ที่ถูกดาวน์โหลดมาติดตั้ง (ที่มา FireEye)

ระบบที่ได้รับผลกระทบ

ทีมพัฒนา Metasploit ซึ่งเป็นซอฟต์แวร์ที่ใช้สำหรับทดสอบช่องโหว่ของระบบ (Penetration Testing) ได้ทดลองสร้างชุดคำสั่งที่โจมตีผ่านช่องโหว่ดังกล่าว และพบว่าคำสั่งนี้สามารถทำงานได้บนระบบที่ติดตั้ง Java Runtime เวอร์ชัน 7 ตั้งแต่ Update 0 จนถึง Update 6 ผ่านทางเบราว์เซอร์บนระบบปฏิบัติการดังต่อไปนี้ [4]

  • Mozilla Firefox บน Ubuntu 10.04
  • Internet Explorer, Mozilla Firefox และ Google Chrome บน Windows XP
  • Internet Explorer และ Mozilla Firefox บน Windows Vista
  • Internet Explorer และ Mozilla Firefox บน Windows 7
  • Safari บน OS X 10.7.4
อย่างไรก็ตาม ช่องโหว่ดังกล่าวนี้อาจทำงานได้บนระบบปฏิบัติการใดๆ ที่ใช้เบราว์เซอร์อื่นๆ ได้อีก หากมีความคืบหน้าเพิ่มเติมทางไทยเซิร์ตจะแจ้งให้ทราบต่อไป

ตัวอย่างการโจมตีโดยใช้ซอฟต์แวร์ Metasploit เป็นดังรูปที่ 2

Al2012co0018-2.png
รูปที่ 2 ตัวอย่างการใช้ Metasploit โจมตี Windows 7 ผ่านช่องโหว่ CVE-2012-4681 (ที่มา Rapid7)

ข้อแนะนำในการป้องกันและแก้ไข

ในวันที่ 31 สิงหาคม 2555 บริษัท Oracle ผู้ผลิตซอฟต์แวร์ Java Runtime ได้ปล่อยโปรแกรม Java 7 Update 7 (build 1.7.0_07) ซึ่งแก้ไขช่องโหว่นี้แล้ว ผู้ใช้สามารถดาวน์โหลดได้จากเว็บไซต์ของ Oracle [6]

หากไม่สามารถอัพเดตได้ ผู้เชี่ยวชาญจากสถาบัน SANS แนะนำให้ผู้ใช้ปิดการทำงานของ Java ในเบราว์เซอร์ หรือใช้ปลั๊กอิน เช่น No-Script เพื่อเลือกอนุญาตให้ Java ทำงานได้เฉพาะในเว็บไซต์ที่กำหนด และหากไม่จำเป็นต้องใช้ความสามารถของ Java Runtime เวอร์ชัน 7 อาจดาวน์เกรดไปใช้ Java Runtime เวอร์ชัน 6 ที่อัพเดตล่าสุดแทนไปก่อนได้ [7]

บริษัท Apple ได้ปล่อยแพทช์เพื่อแก้ไขช่องโหว่ของ Java ใน Mac OS X เมื่อวันที่ 16 ตุลาคม 2555 [8] โดยแพทช์ดังกล่าวนี้จะอัพเดทโปรแกรม Java SE 6 เป็นเวอร์ชัน 1.6.0_37 พร้อมทั้งตัดการสนับสนุน Java ในเบราว์เซอร์ Safari ทำให้ผู้ใช้ที่ต้องการใช้งาน Java ใน Safari จำเป็นต้องติดตั้งปลั๊กอิน Java เวอร์ชันที่พัฒนาโดยบริษัท Oracle เอง [9]

อ้างอิง

  1. http://blog.fireeye.com/research/2012/08/zero-day-season-is-not-over-yet.html
  2. http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4681
  3. http://labs.alienvault.com/labs/index.php/2012/new-java-0day-exploited-in-the-wild/
  4. https://community.rapid7.com/community/metasploit/blog/2012/08/27/lets-start-the-week-with-a-new-java-0day
  5. http://www.oracle.com/technetwork/topics/security/alerts-086861.html
  6. http://www.oracle.com/technetwork/java/javase/downloads/index-jsp-138363.html
  7. https://isc.sans.edu/diary.html?storyid=13984
  8. http://support.apple.com/kb/DL1572
  9. http://thehackernews.com/2012/10/apple-update-removes-java-plugin-from.html

Clear