התרעה חריגה מממשל ארה"ב: לכבות את תוכנה ג'אווה

התראה חמורה על שימוש בתוכנת ג'אווה הנמצאת בשימוש מאות מיליוני אנשים ועסקים ברחבי העולם. הסיבה: פרצת אבטחה שיכולה להזיק לכמות עצומה של מחשבים מסביב לעולם

אלכס דורון | 13/1/2013 14:31 הוסף תגובה הדפס כתבה כתוב לעורך שלח לחבר
המשרד לביטחון המולדת (הומלנד סקיוריטי) בממשל ארה"ב המליץ בסוף השבוע משתמשי מחשבים לכבות, זמנית או לא להתקין כלל במחשביהם, את תוכנת ג'אווה. הסיבה: התרבו אזהרותיהן של חברות אבטחת המידע האמריקניות בדבר פרצת אבטחה חמורה שנתגלתה בגרסה 7 של שפת המחשבים הפופולארית.

מטריקס
מטריקס שאטרסטוק
באזהרה נאמר שהפרצה המסומנת במספר הסידורי CVe 2013 0422 מאפשרת לפצחני מחשבים, האקרים, למשוך גולשי אינטרנט לאתרים מסוימים שדרכם מורצות תוכנות זדוניות המפיצות וירוסי מחשבים או גורמות לנזקים אחרים. כמו כן מאפשרות לגנוב ממחשבי המשתמשים, זהות ופרטים אישיים אחרים ולהשתמש בהם. לכן, הומלץ שלא להיכנס ללינקים חשודים או לא מוכרים שמופיעים בקבצי דואר אלקטרוני ולהימנע מהכנסת פרטים אישיים, שם, סיסמא ואחרים באתרי אינטרנט לא מוכרים למשתמש.

מומחית ויועצת אבטחת המיידע, קרן אלעזרי, שבין השאר מרצה בנושאים אלו ברחבי העולם ובאחרונה הופיעה בכנס מיוחד של נאט"ו, מסרה ל"מעריב" כי האזהרה בניסוחה המחמיר מיועדת ללחוץ על חברת אורקל, שרכשה את ג'אווה כחלק מעסקת הקנייה של "סאן", ב-2010, ב-7.3 מיליארד דולר כדי שתזדרז לפתח תוכנת תיקון לפרצה ולפגם שנתגלה בתוכנה זאת. ג'אווה נמצאת בתשתיות כל עולם התוכנה - מחשבים, אתרי אינטרנט ואפליקציות לטלפונים סלולאריים חכמים. "כולם עושים שימוש נרחב בשפת ג'אווה, הדגישה אלעזרי.

אלא שנתגלו בה לא מעט פגמים ופרצות אבטחה. "זו אחת מחולשותיה של ג'אווה, מה שעושה אותה לפגיעה כל כך" ציינה אלעזרי. "מי שכתב את קוד התוכנה לא זיהה חולשתה זאת. היא מאפשרת למי שמפעיל אותה ברצף פעולות, לגרום לכך שמחשב חיצוני יוכל להתלבש עליה ולבצע דרכה, במחשב הראשון, פעולות שונות, בעיקר זדוניות. למצב הזה ניתן בשפת המתכנתים הכינוי "יום אפס". זה מצב של פגיעות תוכנה שלא הייתה ידועה ליצרן שלה".

אלעזרי ציינה עוד שגם חברות אבטחת המידע ותוכנות ההגנה מפני וירוסי מחשבים לא היו מודעות למצב הזה כאשר התוכנה הותקנה במחשבים. "הפרצה מתגלית למעשה מאוחר יותר. דומה הדבר לחיידק הגורם מחלה ואין נגדו אנטיביוטיקה".

אחת הבעיות שנתגלו עתה: הפרצה מנוצלת בידי האקרים ויוצרי תוכנות זדון המופצות באינטרנט. עוד באוגוסט הופיעו אזהרות ראשונות בדבר חולשתה זאת של ג'אווה, אך אורקל לא מיהרה למצוא לכך פתרון. "מיקרוסופט למשל יצרה מנגנון מסודר לעדכון חודשי קבוע ואוטומטי של תוכנות מקור, כדי לצמצם בהופעת פרצות שכאלו. מי שנהנה מכך הם

משתמשי התוכנות המקוריות משתמשי תוכנות גנובה, מזויפות ולא מורשות".

"אין זו הפעם הראשונה שמתגלה פגם בג'אווה. חומרתה מודגשת עתה במיוחד לאור התייחסות המשרד לביטחון המולדת בארה"ב והאזהרות שהפיץ מעידות שיש בעיה שכרגע, זמנית, אין לה פתרון – ושהאחריות כולה על אורקל". החברה ידעה על כך אך לא הזדרזה לתקן את הפגם. האזהרה הנוכחית היא סוג של לחץ עליה.

כיבוי ישום ג'אווה נעשה כך: בלוח הבקרה, מתפריט התחל, מקישים בתיבת החיפוש את המלה Java , מגיעים לחוצץ סקיוריטי ומוודאים שהתיבה Enable Java Content אינה מסומנת – ואז לאשרה. חברות כמו מוזילה הודיעו שבלמו כל יכולת להפעיל אוטומטית ג'אווה דרך הדפדפן עד שהמשתמש יורה במפורש להפעילה. גם למשתמשי גוגל-כרום ודפדפן פיירפוקס פורסם מדריך כיצד לבצע פעולה זאת במחשביהם.    

אלעזרי הדגישה שכיבוי ונטרול הפעלת ג'אווה במחשבים לא תשתק את האינטרנט, אבל תקשה גלישה לאתרים בעלי תכנים דינמיים המשתנים תוך כדי הגלישה, כמו משחקים וצ'טים. לא תהיה לכך השפעה על סרטי וידיאו.

היכנסו לעמוד הפייסבוק החדש של מעריב
כל המבזקים של nrgמעריב לסלולרי שלך

תגובות

טוען תגובות... נא להמתין לטעינת התגובות
מעדכן תגובות...
קבלו עיתון מעריב למשך שבועיים מתנה

עוד ב''טכנולוגיה''

כותרות קודמות
כותרות נוספות

מדורים

אינטרנט צילום: SXC

הלינקים החמים

nrg פותח לכם את השבוע עם לינקים שיעניקו לכם (אולי) מעט נחת

  

פורומים

כותרות קודמות
כותרות נוספות
;
תפוז אנשים