Artykuły dotyczące tematu: Security Explorations

dodany: 24.04.2013 | tagi: , , , ,

Adam znów atakuje Oracle

0

Oracle tradycyjnie nie naprawiło poprzednio zgłaszanych błędów przez Adama Gowdiaka wydając aktualizację Javy – niestety został spory peleton błędów, wysoce narażających bezpieczeństwo użytkowników.

Nowo odkryty problem niestety dotyczy nie tylko najnowszej wersji 1.7.0_21-b11, ale także poprzednich wydań 7 SE. To już 61 błąd odnaleziony przez Adama Gowdiaka – niestety jest on na tyle poważny, że pozwala na zupełne obejście sandboksa. Na pocieszenie pozostaje fakt, że do tego wymagana jest interakcja użytkownika, który musi zatwierdzić okno informujące o potencjalnie niebezpiecznej aplikacji.

Co ciekawe problem w przeciwieństwie do większości nie dotyczy wyłącznie środowiska uruchomieniowego Java, ale także samego serwera JRE. Oracle co prawda przyjęło zgłoszenie, ale z ich tempem trzeba będzie poczekać na stosowną reakcję. Firma ta nadal bada błędy o numerach 54 i 56 (zobacz newsa: Adam Gowdiak ujawnia szczegóły techniczne błędu w Javie).

dodany: 19.03.2013 | tagi: , , , ,

Adam Gowdiak ujawnia szczegóły techniczne błędu w Javie

0

Niecały miesiąc temu informowaliśmy Was o nowych błędach w Javie, które wykrył kolejny raz Adam Gowdiak (zobacz newsa: Java Second Error Edition raz jeszcze). Z braku reakcji firmy Oracle, Adam postanowił ujawnić szczegóły techniczne słabości numer 54 zgłoszonej firmie Oracle 25 lutego 2013 i uznanej jako „dozwolone zachowanie”, a nie „błąd bezpieczeństwa”. Na stronie firmowej Adama widzimy następującą informację:

Na dzień 18 marca 2013, firma Oracle nie przesłała żadnej informacji wskazującej na to, że słabość 54 jest traktowana przez firmę w kategoriach błędu bezpieczeństwa.

Security Explorations wierzy, że 3 tygodnie (od 25 Lut do 18 Mar) stanowią wystarczający okres, aby jeden z większych producentów oprogramowania ostatecznie potwierdził, bądź zaprzeczył istnieniu zgłoszonego błędu. W szczególności dotyczy to producenta, który był przedmiotem znaczącej krytyki w odniesieniu do prezentowanych kompetencji i szybkości odpowiedzi na błędy bezpieczeństwa odkryte w jego oprogramowaniu. 

Security Explorations opublikowało następujący materiał w nadziei, że szeroka publiczność będzie mogła poddać niezależnej analizie błąd numer 54, jak też ocenić stanowiska obu firm:

  • krótki raport techniczny prezentujący szczegóły błędu, jego znaczenie oraz podsumowanie odpowiedzi producenta, plik PDF, 300KB.

Referencje:

[1]SE-2012-01 Komunikacja z producentami (www.security-explorations.com/pl/SE-2012-01-status.html)

 

Miejmy nadzieję, że może to zmusi Oracle do działania, a nie ciągłej ignorancji na zgłaszane błędy.

dodany: 27.02.2013 | tagi: , , ,

Java Second Error Edition raz jeszcze

0

Ledwo 19 lutego wyszła nowa Java (zobacz newsa: Oracle aktualizuje Javę), a już Adam Gowdiak znalazł w niej dwie poważne luki. Niestety z uwagi na krótki czas od ich wykrycia nie są podane szczegóły problemu, gdyż groziło by to kolejnymi szeroko zakrojonymi atakami. Niewykluczone, że ma to związek z ostatnim atakiem na Facebooka. Wiadomo jedynie, że wiąże się to z możliwością obejścia sandboksa Javy, czyli podstawy prawie każdego środowiska programu JRE.

Adam przedstawił dwa błędy ze stosownymi dowodami na ich istnienie. Są to już odpowiednio 54 i 55 wykryte przez firmę Gowdiaka nieprawidłowości w produkcie Oracle.

Na razie wiadomo jedynie, że firma potwierdziła przyjęcie zgłoszenia wspomnianych luk przez Security Explorations oraz podjęła dochodzenie przyczyny tych problemów. Niestety firma wręcz z tradycją zwleka z ich naprawianiem – na razie udało im się naprawić błąd ze zgłoszenia nr 51.

Jak tylko coś będzie wiadomo w tej kwestii, to na pewno Was poinformujemy.