advertisement

อันตรายจาก Java

โดย มาร์ค Blognone 6 ก.ย. 2555 05:30

ข่าวความปลอดภัยที่น่าสนใจในรอบสัปดาห์ที่ผ่านมา บริษัทด้านความปลอดภัยบนโลกไอทีหลายแห่งออกมาระบุตรงกันว่า Java มีช่องโหว่อันตรายจำนวนมากที่ยังไม่ถูกแก้ไขโดยบริษัทต้นสังกัดอย่างออราเคิล...

ผมคิดว่าเรื่องนี้ใกล้ตัวผู้ใช้งานคอมพิวเตอร์พอสมควร เพราะ Java ค่อนข้างแพร่หลายไม่น้อย และอาจกระทบต่อข้อมูล-ความปลอดภัยของระบบคอมพิวเตอร์ของเราได้ เลยอยากเขียนถึงเรื่องนี้สักหน่อยครับ

ก่อนอื่นขอแนะนำ Java แบบสั้นๆ สำหรับคนที่ไม่รู้จักหรืออาจเคยได้ยินชื่อแต่ไม่รู้ว่ามันเอาไว้ใช้ทำอะไรกันแน่ Java เป็นซอฟต์แวร์ที่ถูกพัฒนาโดยบริษัทซัน ไมโครซิสเต็มส์เดิม (ปัจจุบันถูกออราเคิลซื้อไปแล้ว) มันเป็นซอฟต์แวร์ที่เอาไว้รันซอฟต์แวร์ตัวอื่นๆ อีกทีหนึ่ง จุดแข็งของ Java คือผมเขียนโปรแกรมบนระบบของ Java เพียงครั้งเดียว สามารถนำไปใช้บนคอมพิวเตอร์ใดๆ ที่ติดตั้งโปรแกรม Java Runtime (ตัวย่อคือ JRE) ได้เลย ไม่ต้องเขียนใหม่ สะดวกคนเขียนโปรแกรมมาก

Java เป็นเทคโนโลยีที่เกิดขึ้นในยุคที่เว็บยังมีความสามารถไม่เยอะนัก ดังนั้นเว็บที่ต้องการความสามารถแปลกๆ เช่น เกม ก็ต้องใช้ Java เข้าช่วย ซึ่งผู้ที่อยากใช้งานเว็บเหล่านี้จำเป็นต้องติดตั้ง JRE ลงในเครื่องของตัวเองก่อน จึงจะใช้งานโปรแกรมที่เป็น Java ได้

ภายหลังตลาดของ Java บนเว็บถูกตีตลาดโดย Flash จนแทบไม่มีที่ยืน ทำให้ Java หันไปจับตลาดอุปกรณ์พกพาแทน (ซึ่งปัจจุบันนี้ก็โดนสมาร์ทโฟนตีตลาดจนไม่มีที่ยืนอีกเหมือนกัน) ตอนนี้คนใช้งาน Java ส่วนใหญ่เป็นตลาดไอทีองค์กรเสียมาก

แต่คอมพิวเตอร์ของผู้ใช้จำนวนมากยังมี JRE ติดตั้งอยู่ ถึงแม้ว่าในความเป็นจริงผู้ใช้คอมฯ ทั่วๆ ไปจะแทบไม่ได้ใช้โปรแกรมที่เป็น Java เลยก็ตาม ซึ่งเจ้า JRE นี่แหละครับที่มีปัญหาด้านความปลอดภัยตามที่เขียนไปแล้วข้างต้น กลายเป็นช่องโหว่สำคัญที่อาจทำให้ไวรัสหรือมัลแวร์มาติดเครื่องของเราได้

ทางแก้แบบมาตรฐานคือ เราต้องอัพเดต JRE ให้เป็นเวอร์ชั่นล่าสุดเสมอ แต่ออราเคิลเองก็ถูกวิจารณ์ว่าอัพเดตช้า ปล่อยช่องโหว่ทิ้งไว้เป็นเวลานานหลายเดือน และข้อมูลล่าสุดก็มีคนใช้ช่องโหว่ของ Java มาโจมตีเครื่องคอมพิวเตอร์ของผู้ใช้กันบ้างแล้ว

ดังนั้นผมคิดว่าถ้าคุณผู้อ่านเป็นผู้ใช้งานคอมพิวเตอร์ทั่วๆ ไปที่ไม่จำเป็นต้องใช้งาน Java (ผมเชื่อว่าถ้าคุณผู้อ่านไม่รู้ว่ามันเอาไว้ทำอะไร ก็คงไม่จำเป็นต้องใช้แล้วล่ะครับ คนที่จำเป็นต้องใช้จริงๆ เขารู้อยู่แล้วว่าติดตั้งไปทำไม) ก็ควรลบ JRE ออกจากคอมพิวเตอร์ของตัวเองครับ ในกรณีส่วนใหญ่สามารถลบได้เลยไม่กระทบการใช้งานอะไรอยู่แล้ว

วิธีการลบ สำหรับคนที่ใช้วินโดวส์ ให้เข้าไปที่ Control Panel > Programs and Features เหมือนการลบโปรแกรมทั่วไป หาชื่อที่ขึ้นต้นด้วยคำว่า Java™ 6 หรือ 7 แล้วกด Uninstall ออกไปได้เลย

ส่วนคนที่ต้องใช้งาน Java จริงๆ คงทราบดีอยู่แล้วว่าโปรแกรมอะไรบ้างต้องผูกกับ Java อันนี้คงต้องเอาตัวรอดกันเอง โดยปิดการใช้งานชั่วคราว แล้วค่อยเปิดเมื่อต้องใช้ และหมั่นอัพเดตโปรแกรมให้ใหม่ล่าสุดอยู่เสมอ

สำหรับคนที่ใช้แมค วิธีการปิด Java คือหาโปรแกรมชื่อ Java Preferences เข้าไปยังหน้า General แล้วเอาเครื่องหมายถูกออกจากรายชื่อทุกอัน แต่ถ้าต้องการลบแบบถาวรจะยุ่งยากขึ้นอีกหน่อย เข้าไปที่โฟลเดอร์ /System/Library/Frameworks/ แล้วลบไฟล์ชื่อ JavaVM.framework ออกไป

Java เป็นตัวอย่างหนึ่งของเทคโนโลยีที่เริ่มตกยุคแล้ว (สำหรับผู้ใช้คอมพิวเตอร์ทั่วไป) แต่ยังมีติดตั้งค้างไว้อยู่บนคอมพิวเตอร์จำนวนมาก พอมีปัญหาความปลอดภัยลักษณะนี้เกิดขึ้นก็กลายเป็นช่องโหว่อันตรายสำหรับผู้ใช้จำนวนมาก

อีกโปรแกรมที่ผมคิดว่ามีลักษณะใกล้เคียงกันคือ Silverlight ของไมโครซอฟท์ ซึ่งพยายามออกมาแข่งกับ Flash แต่ล้มเหลว ดังนั้นถ้าใครพบว่าตัวเองมี Silverlight ติดตั้งอยู่ในเครื่อง ก็สามารถลบออกไปได้เลยโดยไม่มีผลกระทบอะไรกับการใช้งานครับ

มาร์ค Blognone

 

โหวตข่าวนี้