• Thứ Tư, 29/08/2012 16:00 (GMT+7)

    Những cách chống lại lỗ hổng Java mới nhất

    Bạch Đình Vinh
    Các nhà bảo mật đề xuất phương án bảo vệ máy tính khỏi các cuộc tấn công nhắm vào lỗ hổng mới chưa được vá trong tất cả phiên bản của JRE (Java Runtime Environment) 7...

    Hầu hết giải pháp được đề xuất có nhiều mặt hạn chế hoặc chỉ có thể áp dụng cho một số môi trường và cấu hình hệ thống nào đó. Tuy nhiên, hy vọng là khi chưa có bản vá chính thức từ Oracle, người sử dụng sẽ có thể sử dụng 1 hoặc nhiều giải pháp trong số chúng để giảm rủi ro là các hệ thống của họ sẽ bị xâm phạm.

    Hôm Chủ nhật 26/8/2012, các nhà nghiên cứu của Công ty Bảo mật FireEye đã công bố sự tồn tại của lỗ hổng Java mới và cho biết, nó đang bị khai thác trong các cuộc tấn công có chủ đích hạn chế. Lỗ hổng mới được cho là cực kỳ nghiêm trọng, có thể bị khai thác để thực thi mã độc trên hệ thống khi dùng trình duyệt web có plug-in Java được kích hoạt truy cập vào một trang web “có độc”.

    Ảnh: news.softpedia.com.
    Những khuyến nghị duy nhất mà hầu hết các chuyên gia bảo mật đã đưa ra để người dùng bảo vệ hệ thống của họ khỏi các cuộc tấn công nhằm vào lỗ hổng này là gỡ cài đặt (uninstall) Java hoặc ít nhất là vô hiệu hóa plug-in Java trong trình duyệt web của họ. Hướng dẫn về việc làm thế nào để vô hiệu hóa plug-in Java đối với các trình duyệt web phổ biến nhất được US-CERT trình bày chi tiết tại đây.

    Đây có lẽ là phương pháp hiệu quả nhất để giảm thiểu những rủi ro liên quan đến lỗ hổng Java mới hoặc những lỗi tương tự mà có thể được phát hiện trong tương lai. Tuy nhiên, nó có hạn chế là không áp dụng được trong một số môi trường, đặc biệt là những môi trường kinh doanh nơi các ứng dụng web dựa trên Java là cần thiết cho nhiều hoạt động quan trọng. Giám đốc công nghệ Wolfgang Kandek tại hãng bảo mật Qualys đề xuất một giải pháp khác là sử dụng cơ chế bảo mật dựa trên Internet Zone của Internet Explorer để hạn chế các website có thể nạp ứng dụng Java (Java applet).

    Người dùng có thể cấm việc sử dụng Java trong Internet Zone bằng cách thiết lập khóa HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 3 trong Windows registry từ 1C00 thành 0 và chỉ cho phép Java chạy trên các website trong danh sách trắng của Trusted Zone, ông Kandek cho biết trong một bài đăng blog.

    Trong khi đó, người dùng Google Chrome và Mozilla Firefox có thể đạt được kết quả tương tự bằng cách cho phép tính năng click-to-play ngăn không cho những nội dung dựa trên plug-in nạp theo mặc định và yêu cầu xác nhận của người sử dụng. Tính năng này cho phép website trong danh sách trắng.

    Chrome đã hỗ trợ "click to play" trong một thời gian dài và việc kích hoạt nó có thể dễ dàng được thực hiện từ giao diện Advanced Settings (cài đặt nâng cao). Tuy nhiên, trong Firefox, tính năng này vẫn còn đang được phát triển và chỉ có thể được kích hoạt bằng cách chuyển đổi "cờ plugins.click_to_play" - chỉ có sẵn trong Firefox 14 trở về sau - thành "true" trong giao diện "about:config".

    Ngoài ra, phần mở rộng (extension) bảo mật NoScript và nhiều phần mở rộng khác có sẵn để tải về từ kho add-on của Mozilla cũng có chức năng ép thực hiện hành vi click-to-play đối với những nội dung dựa trên plug-in.

    Một cách khác là sử dụng 2 trình duyệt web: 1 với Java bị vô hiệu hóa để duyệt web nói chung và 1 với Java được kích hoạt chỉ để truy cập các ứng dụng web dựa trên Java đáng tin cậy.

    Cuối cùng, có một bản vá Java không chính thức được nhà nghiên cứu bảo mật Michael Schierl tạo ra. Ông Schierl đã tìm thấy các lỗ hổng Java khác trong quá khứ.

    Từ khóa: Java, lỗ hổng
    Nguồn: IDG News Service, 28/8/2012