Artykuły dotyczące tematu: Adam Gowdiak

dodany: 24.04.2013 | tagi: , , , ,

Adam znów atakuje Oracle

0

Oracle tradycyjnie nie naprawiło poprzednio zgłaszanych błędów przez Adama Gowdiaka wydając aktualizację Javy – niestety został spory peleton błędów, wysoce narażających bezpieczeństwo użytkowników.

Nowo odkryty problem niestety dotyczy nie tylko najnowszej wersji 1.7.0_21-b11, ale także poprzednich wydań 7 SE. To już 61 błąd odnaleziony przez Adama Gowdiaka – niestety jest on na tyle poważny, że pozwala na zupełne obejście sandboksa. Na pocieszenie pozostaje fakt, że do tego wymagana jest interakcja użytkownika, który musi zatwierdzić okno informujące o potencjalnie niebezpiecznej aplikacji.

Co ciekawe problem w przeciwieństwie do większości nie dotyczy wyłącznie środowiska uruchomieniowego Java, ale także samego serwera JRE. Oracle co prawda przyjęło zgłoszenie, ale z ich tempem trzeba będzie poczekać na stosowną reakcję. Firma ta nadal bada błędy o numerach 54 i 56 (zobacz newsa: Adam Gowdiak ujawnia szczegóły techniczne błędu w Javie).

dodany: 19.03.2013 | tagi: , , , ,

Adam Gowdiak ujawnia szczegóły techniczne błędu w Javie

0

Niecały miesiąc temu informowaliśmy Was o nowych błędach w Javie, które wykrył kolejny raz Adam Gowdiak (zobacz newsa: Java Second Error Edition raz jeszcze). Z braku reakcji firmy Oracle, Adam postanowił ujawnić szczegóły techniczne słabości numer 54 zgłoszonej firmie Oracle 25 lutego 2013 i uznanej jako „dozwolone zachowanie”, a nie „błąd bezpieczeństwa”. Na stronie firmowej Adama widzimy następującą informację:

Na dzień 18 marca 2013, firma Oracle nie przesłała żadnej informacji wskazującej na to, że słabość 54 jest traktowana przez firmę w kategoriach błędu bezpieczeństwa.

Security Explorations wierzy, że 3 tygodnie (od 25 Lut do 18 Mar) stanowią wystarczający okres, aby jeden z większych producentów oprogramowania ostatecznie potwierdził, bądź zaprzeczył istnieniu zgłoszonego błędu. W szczególności dotyczy to producenta, który był przedmiotem znaczącej krytyki w odniesieniu do prezentowanych kompetencji i szybkości odpowiedzi na błędy bezpieczeństwa odkryte w jego oprogramowaniu. 

Security Explorations opublikowało następujący materiał w nadziei, że szeroka publiczność będzie mogła poddać niezależnej analizie błąd numer 54, jak też ocenić stanowiska obu firm:

  • krótki raport techniczny prezentujący szczegóły błędu, jego znaczenie oraz podsumowanie odpowiedzi producenta, plik PDF, 300KB.

Referencje:

[1]SE-2012-01 Komunikacja z producentami (www.security-explorations.com/pl/SE-2012-01-status.html)

 

Miejmy nadzieję, że może to zmusi Oracle do działania, a nie ciągłej ignorancji na zgłaszane błędy.

dodany: 27.02.2013 | tagi: , , ,

Java Second Error Edition raz jeszcze

0

Ledwo 19 lutego wyszła nowa Java (zobacz newsa: Oracle aktualizuje Javę), a już Adam Gowdiak znalazł w niej dwie poważne luki. Niestety z uwagi na krótki czas od ich wykrycia nie są podane szczegóły problemu, gdyż groziło by to kolejnymi szeroko zakrojonymi atakami. Niewykluczone, że ma to związek z ostatnim atakiem na Facebooka. Wiadomo jedynie, że wiąże się to z możliwością obejścia sandboksa Javy, czyli podstawy prawie każdego środowiska programu JRE.

Adam przedstawił dwa błędy ze stosownymi dowodami na ich istnienie. Są to już odpowiednio 54 i 55 wykryte przez firmę Gowdiaka nieprawidłowości w produkcie Oracle.

Na razie wiadomo jedynie, że firma potwierdziła przyjęcie zgłoszenia wspomnianych luk przez Security Explorations oraz podjęła dochodzenie przyczyny tych problemów. Niestety firma wręcz z tradycją zwleka z ich naprawianiem – na razie udało im się naprawić błąd ze zgłoszenia nr 51.

Jak tylko coś będzie wiadomo w tej kwestii, to na pewno Was poinformujemy.

 

dodany: 22.01.2013 | tagi: , ,

Adam znów zawstydza Oracle

0

Adam Gowdiak, który prowadzi własne badania nad bezpieczeństwem platformy Java, znów postanowił napisać do Oracle. Nie tak dawno ukazało się nowe wydanie Java 7 update 11, a Adam znalazł już w niej dwa poważne błędy. Problem jest w zasadzie ten sam co wcześniej – nadal można obejść zabezpieczenia piaskownicy wirtualnej maszyny Java.

Drugi odnaleziony problem dotyczy rozszerzenia dla Javy MBeanInstantiator – bug ten został zgłoszony pod CVE-2013-0422. Niestety najnowsze wersje najpopularniejszych paczek-eksploitów, tj. Nuclear Pack i Blackhole już wykorzystują tę dziurę. Niestety jest ona o tyle groźna, że pozwala na wykonanie dowolnego kodu.

Łącznie z powyższymi błędami, Adam Gowdiak zgłosił już firmie Oracle 52 błędy i zapewne będzie jeszcze „trochę” tego typu powiadomień.

Zgłoszone przez Adama błędy prawdopodobnie znaleźli jako pierwsi „podziemni” hakerzy, którzy zaczęli sprzedawać gotowy eksploit za 5 tysięcy dolarów (zobacz newsa: Nowa Java i nowy exploit na rynku).

dodany: 23.10.2012 | tagi: , ,

Gowdiak sam łata Javę

3

Adam Gowdiak wydał patch naprawiający problem, który zgłosił firmie Oracle 25 września tego roku. Adam chwali się, że opracowanie łatki zajęło mu 30 minut, Oracle nie ogarnęło tematu przez miesiąc, co po prostu ich ośmiesza. Problem dotyczył każdej wersji Javy w edycjach 5, 6, 7 i pozwalał na zdalne przejęcie kontroli za pomocą odpowiednio spreparowanej złośliwej strony.

Było to do wykonania w każdej znanej przeglądarce – Gowdiak przetestował tą możliwość przy pomocy Firefoksa 15.0.1, Chrome 21, IE 9, Opery 12 oraz Safari 5.1.7.
Powodem opracowania łatki był fakt, że Oracle po zgłoszeniu problemu, powiedziało iż nie ma zamiaru dokonać naprawy dziury, wcześniej niż przed upływem 4 miesięcy. Aby naprawić błąd wystarczyło poprawić 25 znaków w kodzie maszyny wirtualnej Java.

Oracle zatwierdził poprawkę i zapowiedział, iż dołączy ją do najbliższego CPU (Critical Patch Update).