USD 65.99 ЕВРО 74.9

Предполагаемая Java-уязвимость ставит под сомнение безопасность Oracle

Экономика

Уязвимость перед «классическими атаками», оставшаяся незамеченной для специалистов по безопасности компании Oracle, заставляют экспертов сомневаться в эффективности процедур обнаружения «багов».

Эксперт по информационной безопасности Адам Говдяк, занимающийся исследованием уязвимостей Java, утверждает, что Oracle не потрудились протестировать своё программное обеспечение на защищённость от классических атак.

Говдяк не раскрывает деталей обнаруженной им уязвимости, но утверждает, что она имеет отношение к новому Reflection API, появившемуся в Java SE 7, и успешная атака позволяет злоумышленнику обойти «песочницу» безопасности Java.

«Такая схема атаки широко известна по крайней мере более 10 лет. Это то, от чего нужно предохраняться в первую очередь, если речь идёт о добавлении новых опций к Java на уровне ядра VM», написал Говдяк в рассылке SecurityFocus Bugtraq.

Говдяк заявляет, что обосновывающий его утверждения код работает на большинстве недавних версий Java SE 7, Update 25 и более ранних версиях, однако его компания ещё не обнародовала этот код официально, чтобы дать Oracle время для ответа. Следуя таким образом традициям профессиональной этики, Говдяк всё же задаётся вопросом, серьёзно ли в Oracle относятся к вопросам безопасности, учитывая, что уязвимость легко обнаруживается и исправляется.

Он утверждает, что если бы процедуры обеспечения существовали, проблема была бы быстро определена и устранена до релиза Java SE 7.

«Этого не произошло, и, таким образом, есть основания полагать, что в Oracle игнорируют политики и процедуры обеспечения безопасности, либо реализация их далека от совершенства».

Однако Oracle обладает значительным количеством ресурсов, обеспечивающих безопасность программного обеспечения, в соответствии с утверждением ведущего разработчика ПО для Java Нандини Романи. Ранее в этом году он писал в корпоративном блоге, посвящённом вопросам обеспечения безопасности, что вопросы безопасности Java – одно из приоритетных направлений деятельности компании.

Он утверждал, что Oracle значительно ускорила выпуск исправлений системы безопасности, вложив дополнительные инвестиции в решение проблем уязвимостей нулевого дня, а с октября этого года увеличит количество запланированных релизов, направленных на обеспечение безопасности, и выпускаемых ежегодно.