Phát hiện lỗ hổng nghiêm trọng trong tính năng Java

Một lỗ hổng nghiêm trọng vừa được phát hiện trong tính năng Java của Sun, có thể cho phép trang web tắt chức năng bảo mật của Java để thực thi mã "độc hại' trên máy tính nạn nhân.

Lỗ hổng do một công ty tư vấn bảo mật Phần Lan phát hiện, có thể ảnh hưởng tới các JRE (Java Runtime Environment - Môi trường Java Runtime) từ phiên bản 1.4.2_05 trở về trước, phiên bản 1.4.1 & 1.4.0, từ phiên bản 1.3.1_12 trở về trước... chạy trên hệ điều hành Windows, Solaris và Linux. Các phiên bản JRE 1.4.2_06, 1.3.1_13, và các bản sau này không bị tác động. Ngoài ra, động cơ Java ảo (JVM) của các hãng thứ ba (như Microsoft) cũng không bị ảnh hưởng.

Chi tiết lỗ hổng hiện đang được đăng tải trên website của Sun, theo đó sẽ cho một người dùng "nguy hiểm" tạo ra trang web có sử dụng mã Javascript để chuyển các đối tượng tới một Java applet không an toàn được JVM sử dụng bên trong. Khả năng này có thể tắt hệ thống bảo mật của Java, vô hiệu hoá cơ chế "sandbox" thường được sử dụng để ngăn chặn các Java applet không an toàn có ý định gây hại cho hệ thống.

Một khi cơ chế "sandbox" bị vô hiệu hoá, các Java applet nguy hiểm có thể xâm nhập vào hệ thống, chúng sẽ có quyền cùng với các user đăng nhập. Điều này cũng có nghĩa, một applet nguy hiểm có thể truy cập tới máy cục bộ và tất cả các máy tính kết nối mạng khác. Theo lý thuyết, java applet còn có thể tải và cài đặt các ứng dụng trên máy tính.

Do tính chất nguy hiểm khá cao nên Sun khuyến cáo người dùng cần phải cập nhật các bản cài đặt Java càng sớm càng tốt, nhằm tránh khả năng bị tin tặc tấn công.