[prebreak][/prebreak]
Như đã biết thì hồi tháng 1, Oracle cũng đã đưa ra một bản vá cho nền tảng Java nhưng chuyên gia bảo mật Adam Gowdiak đã phát hiện ra còn khá nhiều lỗ hổng quan trọng chưa được sửa chữa. Vì vậy, bản vá khẩn cấp tháng 2 sẽ mở rộng vá thêm 50 lỗ hổng trong đó có 44 lỗ hổng tác động đến tiến trình triển khai trên máy khách của Java. Nói cách khác, các lỗ hổng này có thể được khai thác trên môi trường desktop thông qua các ứng dụng Java Web Start hay ứng dụng nền web Java applet; 1 lỗ hổng tác động đến tiến trình cài đặt của máy khách, chẳng hạn như cài đặt JRE trên máy tính; 3 lỗ hổng tiếp theo được vá áp dụng cho tiến trình triển khai Java trên máy chủ và máy khách - đây là các lỗ hổng nguy hiểm và hacker có thể tấn công bằng cách nhập mã độc vào các hàm API trong các thành phần trọng yếu của máy chủ; cuối cùng là 2 lỗ hổng được vá dành cho các gói giao tiếp Java Secure Socket Extension (JSSE).
Thiết lập High mặc định sau khi cập nhật.
Ngoài ra, để giảm thiểu nguy cơ bị tấn công bởi các ứng dụng nền web chứa mã độc trên trình duyệt, Oracle đã chuyển thiết lập bảo mật của Java sang chế độ cao nhất (high) theo mặc định. Thiết lập yêu cầu người dùng trực tiếp cấp phép thực thi cho các ứng dụng nền web, qua đó người dùng có thể từ chối ứng dụng nếu thấy nghi ngờ thay vì để ứng dụng tự động thực thi "trong im lặng" như trước đây. Kết quả là khi người dùng mở một trang web có chứa mã độc, cảnh báo sẽ xuất hiện trước khi ứng dụng khởi chạy. Thêm vào đó, Oracle cũng đã hướng dẫn cách tắt Java trên các trình duyệt thông qua Java Control Panel của Windows.
Bản vá sẽ được cập nhật tự động thông qua Java Control Panel và nếu muốn tự tay cài đặt, người dùng có thể truy cập Java.com để tải về phiên bản mới nhất của Java.
Nguồn: Oracle
