Lại thêm lỗi trong Java có thể dẫn đến bị tấn công

Vụ tấn công được nhà nghiên cứu Tavis Ormandy của Google công bố hôm 9/4/2010. Ông Ormandy cho biết, trước đó đã thông báo cho đội Sun của Oracle về lỗ hổng. Lỗi máy ảo Java (JVM) nay có thể bị sử dụng để chạy chương trình trái phép trên máy tính.

"Họ thông báo với tôi rằng, họ không xem lỗ hổng này có độ ưu tiên đủ cao để phá vỡ chu ki vá lỗi hàng quý của họ", ông Ormandy viết. “Tôi không đồng ý với nhận định này".

Oracle từ chối bình luận về vấn đề này. Công ty vừa phát hành một bản cập nhật lớn cho Java hồi tuần trước và các bản vá lỗi tiếp theo của họ sẽ được tung ra trong tháng 7/2010.

Tấn công có thể cung cấp cho tin tặc một cách để chạy trái phép các chương trình Java trên máy tính của nạn nhân. Chúng có thể làm được điều này vì Java cho phép các nhà phát triển yêu cầu JVM cài đặt các thư viện Java thay thế. Bằng cách tạo ra một thư viện độc hại, sau đó báo cho JVM cài đặt nó, kẻ tấn công có thể chạy chương trình độc hại của mình.

Ông Marc Maiffret, kiến trúc sư bảo mật của FireEye nhận xét, Oracle đã sai lầm khi không vá lỗi ngay lập tức. Lỗi này đặc biệt khó chịu vì nó xảy ra do lỗ hổng thiết kế trong Java (không phải kiểu lỗi lập trình có thể dẫn đến tấn công tràn bộ đệm phổ biến hơn).

Lỗ hổng này ảnh hưởng đến “tất cả các phiên bản kể từ Java SE 6 update 10 cho Microsoft Windows”, ông Ormandy nói. Theo Symantec, người sử dụng Linux cũng có thể bị ảnh hưởng.