This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Hacker de Java orgulha-se de encontrar mais dois furos sem correção

Filed Under: Featured, Oracle, Vulnerability

Serial Java culpa-finder Adam Gowdiak constrangeu a Oracle mais uma vez.

Gowdiak atingiu as manchetes no ano passado quando ele relatou uma vulnerabilidade, esperou por resposta da Oracle, e depois aumentou a aposta com uma vuln retorno.

É um déjà vu tudo de novo, com o pesquisador polonês publicamente comentando sobre dois novíssimos vulnerabilidades que ele encontrou mesmo já que a maioria da Oracle patch recente há apenas uma semana.

Gowdiak, que afirma em seu slogan para "trazer de pesquisa de segurança a um novo nível", critica a forma como a Oracle corrigiu o último buraco.

Ele implica que, embora ele trancou a porta do escritório de atualização 7u11 , a Oracle deixou a entrada do edifício aberto, que ele considerava tão bom quanto um convite para encontrar outra maneira de entrar

MBeanInstantiator bug (ou melhor, a falta de uma correção para ele) acabou por ser bastante inspirador para nós. No entanto, em vez de contar com este bug particular, decidimos cavar nossos próprios problemas.

Não só ele foi depois de novos problemas, ele os encontrou, e orgulha-se de dizer-nos:

Como resultado, duas novas vulnerabilidades de segurança foram vistos em uma versão recente do código Java 7 SE e eles foram relatados a Oracle hoje.

É este o próximo estágio de um acidente de trem em câmera lenta mostrando que a Oracle é pior à segurança do que todos os outros?

Ou é o Oracle apenas a empresa de tecnologia que os técnicos adoram odiar?

Afinal, como alguns comentadores sobre Segurança Nu apontaram, Windows e Microsoft têm lotes de vulnerabilidades encontradas, semana após semana, no entanto, eles não enfrentam o opróbrio mesmo público como Java e Oracle.

Por que é que, você acha?

Está é que a Oracle é visto como um megacorp cujo fundador ultrarich ainda não entrou em contato com seu lado filantrópico (como Bill Gates), ou trouxe ao mercado produtos elegantes de consumo que todo mundo quer possuir (como os Jobs falecido Steve)?

Oracle ainda é o fornecedor de banco de dados corporativo que permaneceu na negação de segurança depois que todo mundo começou a admitir que este negócio vulnerabilidades mais-exploits é igual dinheiro de de malware inteiro pode merecer proatividade um pouco mais?

Ou é simplesmente como-ainda antipatia técnico não correspondido que a Oracle, de todos os possíveis interessados, teve a ousadia de comprar a Sun, e com ele toda a tecnologia da Sun beardily-amado?

Independentemente das razões, a Oracle parece estar aprendendo algo sobre a sociologia do patch amplamente distribuído, o consumidor-alvo software como Java: patch cedo, patch, muitas vezes, não estar em negação, e pensar em atenuações extras além do que é estritamente necessário .

De fato, as recentes atualizações da Oracle Java introduziram, entre outras coisas:

• O patch 7u11 que saiu mais rápido do que muitos esperavam.

• As definições mais rígidas de segurança padrão para assinatura de código.

• Um painel de controle com um "bloqueio de Java de seu navegador" opção.

Ironicamente, o maior recuo em Segurança Nua contra as nossas sugestões para bloquear Java de seu navegador veio de sysadmins dizendo: "Você não pode esperar que uma rede de negócios para abandonar Java assim de repente, e você está sendo imprudente sugerir isso."

Talvez haja um pouco de verdade nisso. Nós aceitamos o que é mais difícil para uma rede grande e heterogêneo de adaptar suas configurações de Java abruptamente do que para um consumidor.

No entanto, ainda acho que é uma questão que você pode também enfrentar agora, em vez de simplesmente invocando "razões de legado" como uma desculpa para ignorar por muito tempo, como muitas empresas fez com o IE 6.

→ Você é um sysadmin? Você recentemente proibiu Java em navegadores corporativos? Ou você ainda tem applets você simplesmente tem de deixar o uso de todos? Envie-nos um e-mail ou deixe um comentário abaixo, para nos dizer como você está se dando bem com Java ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog