This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

Java хакер может похвастаться найти еще два устаревших отверстия

Filed Under: Featured, Oracle, Vulnerability

Серийный Java придира Адам Gowdiak был смущен Oracle еще раз.

Gowdiak попал в заголовки газет в прошлом году, когда он сообщил уязвимости, ждал ответа Oracle, а затем повысил ставку с возвращением vuln.

Это дежа вю снова и снова, с польским исследователем публично хвастался два новых уязвимостей, что он нашел еще с самых Oracle, свежий патч всего неделю назад.

Gowdiak, который утверждает в своей слоган «довести исследований в области безопасности на новый уровень", является критически относился к тому Oracle пропатчена последним отверстием.

Он подразумевает, что, хотя он запер дверь кабинета в обновлении 7u11 , Oracle оставили вход в здание открыты, которую он считал так хорошо, как приглашение, чтобы найти еще один вход

MBeanInstantiator ошибка (или, скорее, отсутствие исправлений для него) оказалось весьма вдохновляющим для нас. Однако, вместо того, чтобы полагаться на данном ошибка, мы решили вырыть наши собственные проблемы.

Не только он ушел после того, как новые вопросы, он нашел их, и с гордостью говорят нам:

В результате два новых уязвимостей были обнаружены в последней версии Java SE 7 код, и они сообщили Oracle сегодня.

Это следующий этап замедленное крушение поезда, показывающие, что Oracle хуже в безопасности, чем все остальные?

Или Oracle просто технологическая компания, которая технари любят ненавидеть?

Ведь, как некоторые комментаторы на голых безопасности указали, Windows и Microsoft имеют много уязвимостей, обнаруженных неделю за неделей, пока они не сталкиваются с теми же общественное осуждение, как Java и Oracle.

Почему, как вы думаете?

Является ли это, что Oracle рассматривается как MegaCorp которого ultrarich основатель до сих пор не связался с его благотворительной стороне (как Билл Гейтс), или вывела на рынок гладкий потребительских товаров, что каждый хочет иметь (как покойный Стив Джобс)?

Является ли Oracle по-прежнему корпоративной базы данных о поставщиках, которые оставались в безопасности, отказ после того как все началось признаться, что вся эта уязвимость плюс подвиги, равно деньги-от вредоносных программ бизнес, возможно, заслуживают немного больше, проактивность?

Или это просто пока еще не безответная технических антипатию, что Oracle, из всех возможных женихов, имели неосторожность купить Sun, а с ним и все beardily любимого технологии Солнца?

Какими бы ни были причины, Oracle, действительно кажется, мы узнаем что-то о социологии исправлений широко распространены, потребительские целевые программы, как Java: патч рано, патч часто, не в отрицании, и думать о дополнительных смягчение за то, что строго необходимо .

Действительно, Oracle, последние обновления Java ввели, среди прочего:

• 7u11 патч, который вышел быстрее, чем многие ожидали.

• строгие параметры безопасности по умолчанию для подписания кода.

• Панель управления с "замком Java из вашего браузера" вариант.

Как ни странно, самый большой люфт на голом безопасности против нашего предложения, чтобы заблокировать Java из вашего браузера пришел из администраторов говорит: "Вы не можете ожидать бизнес-сеть в кювет Java так внезапно, и ты ведешь себя легкомысленно предполагают, что это".

Может быть, есть доля правды в этом. Мы принимаем это труднее для больших и разнородных сетей адаптировать свои настройки Java резко, чем это для потребителя.

Тем не менее, мы по-прежнему думаю, что это вопрос вы можете также столкнуться сейчас, а не просто вызовом "Наследие причинам" в качестве предлога для игнорирования его слишком долго, так как многие компании сделали с IE 6.

→ Вы администратор? Вы недавно запрещен в корпоративных Java-браузеры? Или вы до сих пор апплетов вы просто должны позволить каждому использовать? Пришлите нам по электронной почте или оставить комментарий ниже, чтобы рассказать нам, как вы получаете вместе с Java ...

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog