This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

القراصنة جافا تفتخر اثنين من الثقوب أكثر الحقائق غير المصلحة

Filed Under: Featured, Oracle, Vulnerability

واحرج المسلسل جافا الخطأ مكتشف أوراكل آدم Gowdiak مرة أخرى.

Gowdiak ضرب عناوين الصحف العام الماضي عندما سجلت الضعف، انتظر رد أوراكل، ومن ثم ما كان عليه سابقا مرفوع مع vuln العودة من جديد.

انها ديجا فو أنه في كل مرة أخرى، مع الباحث البولندي المفاخرة علنا عن نقاط الضعف العلامة التجارية الجديدة اثنين الخاص حتى وجد منذ أكثر أوراكل التصحيح الأخيرة قبل أسبوع فقط.

Gowdiak، الذي يدعي في الشعار له إلى "تحقيق الأمن البحوث إلى مستوى جديد"، هو انتقادهم لطريقة أوراكل مصححة أحدث حفرة.

انه يعني أن على الرغم من أنه أغلق الباب في مكتب 7u11 التحديث ، أوراكل ترك مدخل المبنى المفتوح، الذي اعتبره جيدة مثل دعوة لإيجاد طريقة أخرى فيها.

تحولت علة MBeanInstantiator (أو بالأحرى عدم وجود إصلاح ذلك) إلى أن تكون ملهمة جدا بالنسبة لنا. ومع ذلك، بدلا من الاعتماد على هذا الخطأ خاصة، قررنا حفر قضايانا الخاصة.

ليس فقط وقد ذهب بعد قضايا جديدة، وجدت أنه منهم، وتفخر ليقول لنا:

ونتيجة لذلك، تم رصد الثغرات الأمنية الجديدة 2 في النسخة الأخيرة من التعليمات البرمجية Java SE 7 وتم الإبلاغ عنها لأوراكل اليوم.

هل هذه هي المرحلة التالية من حادث قطار البطيء تبين أن أوراكل هي أسوأ في الأمن من أي شخص آخر؟

أو هو مجرد شركة أوراكل التكنولوجيا التي التقنيين الحب على الكراهية؟

بعد كل شيء، حيث أن بعض المعلقين على الأمن العاري واشار الى ان ويندوز ومايكروسوفت لديها الكثير من نقاط الضعف وجدت اسبوعا بعد اسبوع، ولكنها لا تواجه نفس الازدراء العامة وجافا وأوراكل.

لماذا هو أنه، هل تعتقد؟

وأن ينظر أوراكل باعتباره مؤسس ultrarich megacorp التي لم يعد لديه حتى الآن على اتصال مع فريقه الخيرية (مثل بيل جيتس)، أو تقديمهم لمنتجات السوق الاستهلاكية أنيق أن الجميع يرغب في امتلاك (مثل ستيف جوبز في وقت متأخر)؟

وكان لا يزال أوراكل قاعدة بيانات البائع الشركات التي لا تزال في حالة إنكار الأمن بعد بدأ الجميع أن نعترف بأن هذا كله نقاط الضعف زائد يساوي-مآثر الأموال من البرامج الضارة قد تستحق روح المبادرة التجارية أكثر قليلا؟

أم أنها مجرد الكراهية، بعد أن أوراكل التقنية بلا مقابل، لجميع الخاطبين ممكن، وكان تهور لشراء أحد، ومعه كل من التكنولوجيا beardily-الحبيب الشمس؟

وأيا كانت الأسباب، وأوراكل يبدو أن التعلم شيئا عن علم الاجتماع من الترقيع وزعت على نطاق واسع، التي تستهدف المستهلك البرمجيات مثل جافا: التصحيح في وقت مبكر، والتصحيح في كثير من الأحيان، لا يكون في حالة إنكار، ويفكر في تخفيف إضافي يتجاوز ما هو ضروري .

في الواقع، لقد قدم أوراكل آخر التحديثات جافا، من بين أمور أخرى:

• التصحيح 7u11 التي خرجت بشكل أسرع من المتوقع كثير من الناس.

• أكثر صرامة إعدادات الأمان الافتراضية لتوقيع التعليمات البرمجية.

• A وحة التحكم مع خيار "قفل جافا من المتصفح".

ومن المفارقات، فقد حان أكبر رد فعل على الأمن العاري ضد اقتراحاتنا لقفل جافا من المتصفح من sysadmins قائلا: "لا يمكنك ان تتوقع شبكة الأعمال للتخلي عن جافا فجأة، وكنت كونها تشير إلى تفكير فيه."

ربما هناك قليلا من الحقيقة في ذلك. نحن نقبل انه من الصعب لشبكة واسعة وغير متجانسة على التكيف في إعدادات جافا فجأة مما هو عليه بالنسبة للمستهلك.

ومع ذلك، ما زلنا نرى انها قضية قد كذلك مواجهة الآن، بدلا من استدعاء ببساطة "أسباب الإرث" كذريعة لتجاهل لفترة طويلة جدا، كما فعل العديد من الشركات مع IE 6.

→ هل انت مسؤول النظام؟ هل منعت مؤخرا في متصفحات جافا الشركات؟ أو هل لا يزال لديك تطبيقات كنت ببساطة يجب السماح استخدام جميع؟ أرسل لنا رسالة بريد إلكتروني، أو ترك التعليق أدناه، ليقول لنا كيف كنت الحصول على جنبا إلى جنب مع جافا ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog