Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Oracle критикуют за несвоевременный выпуск исправлений для Java

Oracle критикуют за несвоевременный выпуск исправлений для Java

Oracle критикуют за несвоевременный выпуск исправлений для Java


30.08.2012



Независимые эксперты в области безопасности программного обеспечения винят корпорацию Oracle в недостаточно ответственном отношении к выпуску исправлений для программного обеспечения Java. Польская компания Security Explorations говорит, что обнаружила еще в весной этого года аж 31 серьезную уязвимость в Java CPU, информация о которой была передана в Oracle, а широкой общественности об этом ничего не было известно. В Security Explorations заявили, что среди 31 уязвимости как минимум одна уже находится в широком использовании.

Адам Говдиак, CEO Security Explorations, говорит, что судя по логике вещей, все указанные уязвимости должны были быть устранены к 12 июня, когда Oracle выпустила квартальный набор патчей. Но в реальности Oracle устранила лишь 2 из уязвимости. С учетом того, что Oracle выпускает исправления для Java лишь раз в квартал, следующее исправление появится только 16 октября, а до этого пользователи продолжат быть под ударом.

В Security Explorations говорят, что поддерживают контакт с корпорацией и судя по последним данным от 23 августа, программисты компании подготовили исправление для двух с половиной десятков уязвимостей, но для пользователей они пока недоступны. Говдиак говорит, что незакрытыми остаются шесть уязвимостей, работа над исправлением которых продолжается.

Подробные сведения об уязвимостях в польской компании не разглашают. В Oracle также не стали комментировать ход работ над исправлением уязвимостей.

Отметим, что около месяца назад компания FireEye сообщила об обнаружении критической уязвимости в Java. Впервые об уязвимости в Java 1.7 в воскресенье в блоге компании FireEye сообщил ее ИТ-эксперт Атиф Муштак, а в понедельник новые данные о ней представили независимые специалисты Андрэ Димино и Мила Паркур. Они сообщают, что в рамках Java-атак злоумышленники используют уязвимость для установки троянца Poison Ivy Remote Access Trojan.

Все эксперты пишут, что обычные задержки, связанные с выпуском патчей для Java, а также широкое распространение эксплоита представляют реальную угрозу для пользователей и их данных. В компании Rapid7, выпускающей популярный открытый пентестер Metaspoit, используемый как ИТ-администраторами, так и хакерами , говорят, что у них уже есть эксплоит, который включен в программу и работает против Windows 7. Также в Rapid7 сообщили, что ведут разработку эксплоита для Microsoft Internet Explorer, Mozilla Firefox и Google Chrome, а также для операционных систем Ubuntu Linux и Windows XP.

"Как пользователь, вы должны очень серьезно отнестись к проблеме, пока у Oracle для нее нет официального патча. Мы рекомендуем полностью заблокировать работу Java пока не будет выпущено исправление", - говорят в Rapid7.

Подробные данные об уязвимости доступны по ссылке.

Источник:
CyberSecurity.ru

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"