Oracle rất thờ ơ trong việc quan tâm đến bảo mật trên nền tảng quan trọng như Java.

Bất chấp việc Oracle tung ra bản nâng cấp để vá lỗ hổng bảo mật nghiêm trọng có trên nền tảng Java khiến hàng trăm triệu máy tính gặp nguy hiểm, có vẻ như vấn đề vẫn chưa được khắc phục và lỗ hổng vẫn tồn tại.

Oracle đã tung ra bản nâng cấp nền tảng Java của mình ngay sau khi Bộ Nội An Mỹ đưa ra cảnh báo khuyến cáo người dùng vô hiệu hóa nền tảng Java trên máy tính của mình vì lỗ hổng bảo mật nghiêm trọng đã bị hacker khám phá và khai thác.

Lỗ hổng bảo mật này có thể giúp hacker lừa người dùng truy cập vào các trang web có chứa mã độc, từ đó chiếm toàn quyền điều khiển máy hoặc đánh cắp tài khoản ngân hàng, mật khẩu, thông tin cá nhân… thậm chí chúng còn có thể cài đặt phần mềm tống tiền lên máy tính người dùng và yêu cầu họ trả phí để ngừng chiếm đoạt quyền điều khiển…

Ảnh
Bản vá lỗi Java chưa khắc phục được lỗ hổng nghiêm trọng trên nền tảng này.

Tuy nhiên, Adam Gowdiak, chuyên gia của hãng nghiên cứu bảo mật Phần Lan Security Explorations, người đã từng khám phá ra nhiều lỗ hổng bảo mật trên Java trong nhiều năm qua, cho biết bản nâng cấp mà Java phát hành chưa vá lại hoàn toàn lỗ hổng bảo mật nghiêm trọng này.

“Chúng tôi không dám khẳng định an toàn để khuyên người dùng kích hoạt Java trở lại trên máy tính của họ”, Gowdiak cho biết.

Trong khi đó, nhiều chuyên gia tư vấn bảo mật cho các doanh nghiệp cũng đã khuyên các doanh nghiệp loại bỏ plugin Java ra khỏi trình duyệt trên máy tính của các nhân viên, trừ những người cần thiết phải sử dụng Java cho công việc của mình.

Theo HD Moore, Giám đốc của công ty chuyên tư vấn bảo mật Rapid7, hiện Oracle phải mất đến 2 năm mới có thể khắc phục hết toàn bộ những lỗ hổng bảo mật được nhận diện trên plugin Java đang được sử dụng cho trình duyệt web. Do vậy Moore cho rằng không gì an toàn hơn là nên loại bỏ Java ra khỏi máy tính người dùng.

Oracle hiện từ chối bình luận về những nhận định mới của các chuyên gia bảo mật.

Java là một ngôn ngữ lập trình cho phép lập trình viên viết các phần mềm chỉ cần sử dụng một mã nguồn nhưng có thể chạy trên nhiều nền tảng khác nhau, bao gồm cả hệ điều hành Windows, Mac OS hay Linux… Một phiên bản Java thường được cài đặt sẵn trên trình duyệt web để lướt web, một phiên bản độc lập khác được cài đặt trực tiếp trên máy tính để chạy các phần mềm viết bằng Java. Java được xem là “xương sống” của các trang web kể từ ngày đầu của Internet.

Các chuyên gia bảo mật ước tính hiện Java đang được sử dụng trên khoảng 3 tỉ thiết bị, trong đó có 2 tỉ máy tính bàn hoặc laptop. Do vậy những lỗ hổng bảo mật liên quan đến Java thường để lại những tác hại nghiêm trọng và có tầm ảnh hưởng rất lớn.

Trên thực tế, hầu như mọi phần mềm đều ẩn chứa những lỗ hổng bảo mật. Tuy nhiên Java là nền tảng nổi tiếng nhất về số lượng lỗ hổng bảo mật nhưng lại rất chậm trễ trong việc phát hành các bản vá lỗi để khắc phục.

“Oracle rất chậm chạp trong việc khắc phục các vấn đề”, Kurt Baumgartner, chuyên gia nghiên cứu bảo mật của Kaspersky Labs nhận xét.

Oracle thường nâng cấp các phiên bản của Java sau mỗi 4 tháng, thay vì hàng tháng hay hàng tuần để cập nhật các bản vá lỗi mới. Các nhà nghiên cứu bảo mật thông báo lỗ hổng bảo mật mới trên Java lên Oracle thường phải mất hàng tháng mới được phản hồi và khắc phục. Từng có trường hợp một lỗ hổng bảo mật nghiêm trọng được phát hiện ra hồi tháng 4 năm ngoái, nhưng phải đến tháng 8 mới được Oracle phát hành bản vá lỗi.

Khoảng thời gian dài trong việc phát hành các bản vá có thể giúp hacker có thời gian khai thác để tận dụng lỗ hổng tấn công vào người dùng.

Theo thống kê của hãng bảo mật Sophos thì các lỗ hổng bảo mật trên Java chiếm đến 90% những vụ tấn công trực tuyến năm ngoái, tương đương 12.000 vụ tấn công mỗi ngày.

Nhiều lập trình viên đã rời bỏ Java để chuyển sang các ngôn ngữ lập trình khác, chẳng hạn Flash của Adobe, tuy nhiên hiện Java vẫn đang là ngôn ngữ chuẩn được sử dụng cho nhiều phần mềm doanh nghiệp. Theo các nhà phân tích, nếu các vấn đề bảo mật trên Java không được quan tâm đúng mức, các lập trình viên có thể sẽ đẩy nhanh hơn quá trình “tẩy chay” Java.

Theo Dân Trí




Bình luận

  • TTCN (0)