ايتنا - آیا استفاده از جاوا خطرناك است؟

آیا جاوا، بزرگ‌ترین فعال‌كننده برنامه‌های مفید است یا این‌كه یك هدر دهنده فضا است كه زیان آن بیشتر از سود آن است؟

به گزارش ایتنا از مرکز ماهر، در اواخر آگوست اخباری منتشر شد مبنی بر دو آسیب‌پذیری جدید و اصلاح نشده و جدی در جاوا (CVE-2012-4681 به همراه شواهد متعدد و معتبری كه نشان می‌داد مجرمان سایبری در حال سوءاستفاده از این آسیب‌پذیری‌ها هستند.
همین موضوع ادامه استفاده از جاوا را در معرض سؤال قرار داد.

اوراكل این نقص امنیتی را در یك اصلاحیه خارج از نوبت و فوری ترمیم كرد.

اما به گفته شركت امنیتی لهستانی Security Explorations، اوراكل ماه‌ها قبل در مورد این آسیب‌پذیری آگاه شده بود و در مورد آن كاری صورت نداده بود.

مدت كوتاهی پس از عرضه این اصلاحیه، محققان لهستانی اعلام كردند كه یك آسیب‌پذیری جدید در این اصلاحیه كشف كرده‌اند، كه اجازه عبور از sandbox این نرم‌افزار را صادر می‌نماید.

حال سؤال اینجاست كه آیا كاربران و شركت‌ها باید جاوا را بر روی سیستم‌های خود نگاه دارند؟ در هر دو مورد پاسخ مثبت است، اما به این شرط كه واقعا به آن نیاز داشته باشند.

حال به برخی افسانه‌ها و تصورات موجود در این مورد می‌پردازیم.

افسانه اول - من فقط در شرایط خاص به جاوا بر روی سیستم خود نیاز دارم
برای شركت‌ها، تصمیم‌گیری در مورد این‌كه JRE مورد نیاز است یا خیر، بسیار سرراست و راحت است و در اغلب موارد نیز جواب این سؤال مثبت است.

احتمالا ادمین‌ها اجازه استفاده از جاوا را بر روی كامپیوترهای دسكتاپ صادر نمی‌كنند، مگر این‌كه دلیل مشخصی داشته باشد.

اما مصرف‌كنندگان در بسیاری موارد جاوا را بر روی سیستم خود دارند، در حالی‌كه نیازی به آن ندارند.

بر روی بسیاری از كامپیوترها نیز جاوا به‌طور پیش‌فرض نصب شده است.

به خاطر داشته باشید كه جاوا بر روی كامپیوتر نصب می‌گردد، اما در داخل مرورگرها نیز می‌تواند فعال یا غیرفعال گردد.

افسانه دوم- جاوااسكریپت همان جاوا است
این اشتباه است! صرفنظر از استفاده از لغت جاوا، این دو كاملا غیرمرتبط هستند.

جاوااسكریپت در سال ۱۹۹۵ توسط «برندان ایخ» و در حالی كه برای Nestscape كار می‌كرد، اختراع شد.
وی اعتقاد داشت كه واسط اسكریپتی وی برای تعاملی كردن مرورگرها و وب‌سایت‌ها بسیار مفید است.

افسانه سوم- نسخه‌های قدیمی بی‌ضرر هستند
این یك افسانه دیگر در مورد جاوا است.
بسیاری از كاربران حتی پس از دانلود به‌روز رسانی‌های امنیتی، باز هم فراموش می‌كنند كه نسخه‌های قدیمی را حذف نمایند.

همان‌طور كه اوراكل در ماه می اظهار داشت، نگه داشتن نسخه‌های قدیمی و بدون پشتیبانی جاوا بر روی سیستم، یك خطر امنیتی جدی به حساب می‌آید.
این شركت به كاربران خود راهنمایی می‌كند كه چه‌طور این كار را انجام دهند.

انجام این كار بسیار ساده و در عین حال مهم است. اما بسیاری از كاربران كامپیوتر، از اهمیت این موضوع آگاه نیستند و ترجیح می‌دهند وقت خود را با كارهای دیگری پر كنند.

اما چرا اوراكل در هنگام نصب جاوای جدید، نسخه‌های قدیمی را حذف نمی‌كند؟ زیرا ممكن است نسخه‌های قدیمی توسط برخی برنامه‌ها مورد استفاده قرار گیرند و به همین دلیل اوراكل این كار را انجام نمی‌دهد.

یك نكته مهم حصول اطمینان از این موضوع است كه نسخه‌های جدید جاوا به‌طور خودكار دانلود می‌گردند و سیستم نیز به‌طور مرتب و در فواصل زمانی مناسب، عرضه نسخه‌های جدید را مورد بررسی قرار می‌دهد.
این مدت زمان به‌طور پیش‌فرض یك ماه است كه شاید بهتر باشد كمتر گردد.

در ویندوز، برنامه جاوا را از كنترل پنل اجرا كرده و بر روی سربرگ Update/advanced كلیك نمایید تا این فاصله زمانی را به مدتی كمتر (مثلا یك بار در هفته) كاهش دهید.

افسانه چهارم - آسیب‌پذیری‌های جاوا، یك مشكل ویندوز هستند
نقایص امنیتی جاوا می‌توانند بر روی تمامی پلتفورم‌هایی كه runtime در آنها وجود دارد، از جمله اپل و لینوكس تأثیر بگذارند.

البته این بدان معنا نیست كه هر نقص امنیتی جاوا تمامی این پلتفورم‌ها را به‌طور یكسان تحت تأثیر قرار می‌دهد.

اغلب بدافزارهای سوءاستفاده كننده از نقایص امنیتی جاوا، كاربران ویندوز را هدف قرار می‌دهند.
اما تروجان فلش‌بك كه اوایل سال میلادی جاری شناسایی شد، ثابت كرد كه كاربران Mac نیز در برابر خرابكاری‌های جاوا مصون نیستند.

این بدافزار از یك آسیب‌پذیری جاوا (CVE-۲۰۱۲-۰۵۰۷) سوء استفاده می‌كند كه باید توسط خود اپل اصلاح می‌شد. در حقیقت كاربران اپل با دو لایه وابستگی روبرو هستند، اوراكل و اپل.

افسانه پنجم- اوراكل از من محافظت خواهد كرد
اگر این موضوع كه اوراكل در پاسخ‌گویی به آسیب‌پذیری‌ها ماه‌ها تعلل كرده است، این افسانه خود به خود از جرگه واقعیت خارج می‌گردد.

بدافزارنویسان سال‌هاست كه در حال شكار نقایص جاوا هستند و به نظر می‌رسد كه این موضوع، چندان اوراكل را تحت تأثیر قرار نداده است.