Oracle не спешит устранять баги

31.08.2012 17:35

Oracle знал о существованиии в Java 7 двух неисправленых багов еще в апреле этого года. Этими дырами в настоящее время пользуются вредоносные программы. Об этом сообщил Адам Говдяк (Adam Gowdiak), генеральный директор польской иследовательской охранной фирмы.

Служба безопасности сообщила о проблеме еще 2 апреля. Проблема оказалась в двух нулевых днях. Именно этой неисправностью и воспользовались злоумышленники, чтобы заражать компьютеры вирусами.

Всего с апреля до сегодня в Java7 в Oracle было обнаружено 29 секьюрети-багов. "Мы продемонстрировали 16 полных компромисных вариантов Java SE 7 с использованием ошибок,", - говорит Adam Gowdiak

По словам специалистов в области безопасности, Java использует обнародованные на этой неделе и встроеные Blackhole средства атаки. Первый баг использован для получения ссылки на sun.awt.SunToolkit, который ограничен апплетами. А второй баг вызывает GetField публичный статический метод SunToolkit используя зеркало, которое позволяет немедленно вызвать обход проверки безопасности.

Хотя обе эти уязвимости, один ClassFinder класса и одна - класса MethodFinder, были найдены и описаны еще в апреле, широким массам об этом не сообщалось. Поэтому эксперты считают, что это скорей всего не утечка информации в докладах, а результат независимого иследования.

Ошибки, которых говорилось выше, будут устранены в патчах в октябре, вместе с другими 17 ошибками, найдеными за это время.

По данным польской фирмы безопасноти, Oracle устраняет баги раз в четыре месяца. Последний раз Java процессор был выпущен в июне. Поляки утверждают, что их специалисты своевременно сообщают об проблемах Oracle и удивляются, почему корпорация медлит с исправлением багов.

 

Источник


mariannax
0 661
    icon   icon   icon   icon   icon
Комментариев нет

Войдите чтобы оставить комментарий

Лучшие