هشدار جدی به کاربران

استفاده از جاوا را متوقف کنید

نوشته علی عظیمی‌پور 08 شهريور 1391

زبان برنامه نویسی جاوا از محبوبیت خاصی برخوردار است؛ مخصوصا در محیط‌های ممتاز. این محبوبیت از زمانی که شرکت اوراکل مالکیت جاوا و باقی محصولات Sun Microsystems را در اختیار گرفته است رو به کاهش است. شرکت اوراکل از ابتدا با محصولات RDBMS خود معروف شد. حالا جاوا را نیز در اختیار دارد اما هرگز از جاوا مانند محصولات دیگرش پشتیبانی نکرده است و از نسخه ۷ به بعد این موضوع به طرز عجیبی رضایت برنامه نویسان را کاهش داده و حالا هم با کم کاری‌هایش این زبان برنامه نویسی را به روزهای پایانی خود نزدیک می‌کند.

java

یک ماه پیش شرکت مایکروسافت اعلام کرد که کاربرانش بیشتر از قبل مورد حمله بدافزارهای جاوا هستند. هم‌چنین از کاربران خود خواست تا این محصول را بروز رسانی کنند و یا آن را از کار بیندازند. به نظر این هشدار امروز جدی‌تر شده است. اما متاسفانه اوراکل از ماه گذشته تا کنون هیچ اقدامی در این زمینه نکرده و بروز رسانی جدیدی منتشر نکرده است. پس تنها یک راه حل باقی مانده، آن‌هم اینکه جاوا را از کار بیندازید! اکثر شرکت‌های امنیتی نیز بر این باور هستند که در حال حاضر تنها راه حل از کار انداختن جاوا در مرورگرهای اینترنتی است.

 

بدافزارها بر روی نسخه ۷ جاوا، تمامی زیر نسخه‌ها و تمامی پلتفرم‌های آن عمل می‌کنند و منبع اصلی آن‌ها کشور چین است که به نظر دربرنامه کاری خود توقف و یا کاهش حملات را اصلا پیش بینی نکرده است. وبلاگ DeepEnd در این زمینه بسته نرم‌افزاری خاصی را ارائه کرده که به راحتی قابل دسترس نیست، در نتیجه شرکت‌های امنیتی هرکدام در این رابطه پیشنهادهایی به کاربران داده‌اند که کسپراسکی و Sophos از جمله این شرکت‌ها هستند که براساس هشدارهای جداگانه آن‌ها، بهتر است افزونه جاوا را تا بروز رسانی آن از کار بی‌اندازید و اگر نیاز واجبی به آن دارید از دو مرورگر استفاده کنید (یکی با قابلیت جاوا و دیگری بدون آن که اولی تنها در شبکه داخلی استفاده شود).

پیشنهاد دیگر نیز استفاده از Firewall ها برای جلوگیری از برنامه‌های جاوایی که نمی‌شناسید است. اما همه آن شرکت‌ها؛ یکصدا بهترین راه را از کار انداختن جاوا می‌دانند.

لازم به توضیح است که جاوا در وب به دو صورت قابل اجراست. کدهایی که در سمت سرور اجرا می‌شوند و به صورت کدهای HTML و گاها (در سرویس‌های گوگل) به شکل جاوا اسکریپت در سمت کاربر دیده می‌شوند و کدهایی که تحت مرورگر اجرا می‌شوند. در واقع این وسیله Applet نام دارد که برنامه نویسان حرفه‌ای از آن پرهیز می‌کنند. به این دلیل که Applet در ابتدا بار زیادی را بر روی کامپیوتر کاربر سوار خواهد کرد و هم‌چنین کاربر همیشه به داشتن نسخه‌ای از جاوا (JRE) وابستگی خواهد داشت و از همه مهم‌تر، این کدها در سمت کاربر اجرا خواهند شد نه سرور، در نتیجه کدهای مخرب زیادی می‌توانند اجرا شوند که همین حالا این کدها باعث این اتفاق شده‌اند. در واقع به خاطر بعضی از روش‌های برنامه نویسی ایجاد شده در کدها، جاوا قادر به تشخیص کد امن نمی‌شود و اجازه دسترسی به بعضی از کدهای دیگر نیز داده می‌شود که در حالت عادی این امر امکان پذیر نیست.

شرکت اپل برای سیستم‌‌های عامل مک، بسته‌ای را ارائه داده است که می‌توانید از اینجا دانلود کنید. به هر حال در شرایط فعلی باید منتظر بود تا اوراکل به خود بیاید، اما تا آن زمان بهتر است تا ابزار جاوای مرورگر خود را از کار بیندازید. برای اینکه بدانید اصلا همچین ابزاری را در اختیار دارید یا خیر می‌توانید به اینجا مراجعه کنید. حال اگر نیاز دارید تا جاوا را از کار بیندازید می‌توانید از این راهنما استفاده کنید. در پایان اگر اطلاعات بیشتری درباره این بدافزارها نیاز دارید می‌توانید به این صفحه مراجعه نمایید.

 

بروز رسانی: شرکت اوراکل با ارائه آپدیت جدیدی از جاوا مشکل به وجود آمده را پوشش داده است که می‌توانید این آپدیت را از سایت این شرکت دریافت کنید.