Ngày 30/8, Oracle đã phá vỡ lịch trình cập nhật hàng quý của mình để tung ra bản vá 3 lỗ hổng bảo mật riêng biệt cho Java và một bản vá lỗi cho Java 7.
Liên quan tới 3 lỗ hổng bảo mật của Java, theo Oracle thì đây là “vấn đề an ninh nghiêm trọng của Java chạy trên các trình duyệt của máy tính để bàn”. Cụ thể hơn, các lỗ hổng bảo mật này có thể bị khai thác qua mạng mà không cần tài khoản và mật khẩu. Khi người dùng sử dụng một ứng dụng có liên quan tới Java trên trình duyệt, sau đó truy cập vào một trang web độc hại thì họ sẽ bị tấn công thông qua lỗ hổng này.
Kết quả là lỗ hổng này có thể được hacker sử dụng để khai thác dữ liệu cá nhân và chiếm quyền điều khiển hệ thống máy tính của người dùng. Nếu khai thác thành công các lỗ hổng, hacker sẽ cấy các phần mềm độc hại, trojan,… để đánh cắp các thông tin người dùng. Trong vài trường hợp, các phần mềm độc hại này sẽ được phần mềm diệt vi rút phát hiện.
Giám đốc an ninh của Oracle Eric Maurice đã khuyến cáo hôm thứ 5 rằng khách hàng nên áp dụng các bản cập nhật càng sớm càng tốt bởi vì chi tiết kĩ thuật của lỗ hổng này đã phổ biến rộng rãi, nếu người dùng không cập nhật sớm có thể sẽ bị mất dữ liệu lúc nào không hay.
Tuy nhiên, Oracle khẳng định rằng lỗ hổng bảo mật không áp dụng cho các ứng dụng máy tính để bàn chạy Java độc lập (không phải ứng dụng chứa Java), Java chạy trên các máy chủ, hoặc bất kì phần mềm dựa trên máy chủ Oracle.
Cũng liên quan tới việc cập nhật bản vá cho Java, Oracle cũng đã tung ra bản vá cho lỗ hổng bảo mật trên Java 7. Đây là lỗ hổng có thể bị hacker sử dụng nhằm vào các hệ thống máy tính chạy Windows.
Tương tự như các phần mềm độc hại nhằm vào OS X, hacker sẽ cấy vào các Java Applet độc hại trên hệ thống nhằm đưa người dùng truy cập vào các trang web lừa đảo.
Mặc dù lỗ hổng của Java 7 được phát hiện trên Windows nhưng nguy cơ của nó vẫn tiềm tàng ở các nền tảng khác hỗ trợ Java 7 như trình duyệt Safari hay Firefox chạy trên OS X Mountain Lion.
Lỗ hổng này chỉ có trên Java 7 và không có ở các phiên bản khác. Bản cập nhật của nó có thể tải tại đây và Oracle khuyến cáo nên áp dụng nó ngay lập tức.
Bình luận