dodany: 22.01.2013 | tagi: , ,

Autor:

Adam znów zawstydza Oracle

0

Adam Gowdiak, który prowadzi własne badania nad bezpieczeństwem platformy Java, znów postanowił napisać do Oracle. Nie tak dawno ukazało się nowe wydanie Java 7 update 11, a Adam znalazł już w niej dwa poważne błędy. Problem jest w zasadzie ten sam co wcześniej – nadal można obejść zabezpieczenia piaskownicy wirtualnej maszyny Java.

Drugi odnaleziony problem dotyczy rozszerzenia dla Javy MBeanInstantiator – bug ten został zgłoszony pod CVE-2013-0422. Niestety najnowsze wersje najpopularniejszych paczek-eksploitów, tj. Nuclear Pack i Blackhole już wykorzystują tę dziurę. Niestety jest ona o tyle groźna, że pozwala na wykonanie dowolnego kodu.

Łącznie z powyższymi błędami, Adam Gowdiak zgłosił już firmie Oracle 52 błędy i zapewne będzie jeszcze „trochę” tego typu powiadomień.

Zgłoszone przez Adama błędy prawdopodobnie znaleźli jako pierwsi „podziemni” hakerzy, którzy zaczęli sprzedawać gotowy eksploit za 5 tysięcy dolarów (zobacz newsa: Nowa Java i nowy exploit na rynku).

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *