This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Hacker de Java se jacta de encontrar dos agujeros más sin parches

Filed Under: Featured, Oracle, Vulnerability

Serial Java criticón Adán Gowdiak ha avergonzado a Oracle una vez más.

Gowdiak llegó a los titulares el año pasado cuando se reportó una vulnerabilidad, esperó la respuesta de Oracle, y luego subió la apuesta con una vuln regreso.

Es un déjà vu de nuevo, con el investigador polaco públicamente presumiendo de dos flamantes vulnerabilidades que ha encontrado aún ya que la mayoría de Oracle parche reciente hace apenas una semana.

Gowdiak, que dice en su lema de "llevar la investigación sobre seguridad a un nuevo nivel", critica la forma en Oracle parchea el último hoyo.

Da a entender que, si bien cerró la puerta de la oficina de actualización 7u11 , Oracle izquierda de la entrada al edificio abierto, que él consideraba tan buena como una invitación a encontrar otra forma de entrar

MBeanInstantiator bug (o más bien la falta de una solución para ello) resultó ser muy inspirador para nosotros. Sin embargo, en lugar de confiar en este problema concreto, hemos decidido profundizar nuestros propios problemas.

No sólo ha desaparecido después de nuevas emisiones, que los ha encontrado, y se enorgullece de decirnos:

Como resultado, dos nuevas vulnerabilidades de seguridad fueron vistos en una versión reciente de Java SE 7 y el código que se informó a Oracle.

¿Es esta la siguiente etapa de un choque de trenes a cámara lenta demuestra que Oracle es peor en la seguridad de todos los demás?

¿O es Oracle sólo la compañía de tecnología que techies amor al odio?

Después de todo, como algunos comentaristas de Seguridad Naked han señalado, Microsoft Windows y tiene un montón de vulnerabilidades encontradas semana tras semana, sin embargo, no se enfrentan a la misma oprobio público como Java y Oracle.

¿Por qué, qué te parece?

Está es que Oracle es visto como una megacorporación cuyo fundador ultrarich aún no ha puesto en contacto con su lado filantrópico (como Bill Gates), o que se señalan a la comercialización de productos de consumo elegantes que todo el mundo quiere poseer (como el difunto Steve Jobs)?

Se Oracle sigue siendo el proveedor de base de datos corporativa que se mantuvo en la negación de seguridad después de todos los demás habían empezado a admitir que este conjunto vulnerabilidades-plus-exploits es igual a dinero-de-malware de negocios podría merecer la proactividad un poco más?

¿O es simplemente que aún no tiene antipatía técnico no correspondido que Oracle, de todos los posibles pretendientes, tuvo la osadía de comprar Sun, y con él todos beardily amado Sol tecnología?

Cualesquiera que sean las razones, Oracle parece estar aprendiendo algo acerca de la sociología de la aplicación de parches ampliamente distribuida, orientada al consumidor de software como Java: parche temprano, parche a menudo, no estar en negación, y pensar en medidas de mitigación adicionales más allá de lo estrictamente necesario .

De hecho, las actualizaciones recientes de Oracle Java han introducido, entre otras cosas:

• El parche 7u11 que llegó más rápido de lo que muchos esperaban.

• más estrictos parámetros de seguridad predeterminados para firma de código.

• Un panel de control con un "bloqueo de Java de su navegador" opción.

Irónicamente, el mayor retroceso de Seguridad Naked contra nuestras sugerencias para bloquear Java de su navegador ha venido de los administradores de sistemas diciendo: "No se puede esperar una red de negocios a deshacerse de Java, por lo pronto, y que estás siendo desconsiderado para sugerirlo".

Tal vez hay un poco de verdad en eso. Aceptamos que es más difícil para una red grande y heterogéneo de adaptar sus parámetros de Java abruptamente de lo que es para un consumidor.

Sin embargo, seguimos pensando que es un tema que bien podría enfrentarse ahora, en vez de limitarse a invocar "razones de herencia" como una excusa para ignorar que durante demasiado tiempo, ya que muchas empresas hicieron con IE 6.

→ ¿Es usted un administrador de sistemas? ¿Ha prohibido Java en los navegadores de las empresas? ¿O es que todavía tienen applets simplemente hay que permiten el uso de todos? Envíenos un email o dejar un comentario más abajo, que nos diga cómo se está llevando bien con Java ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog