オラクルはJava 7の欠陥を確認し、別のものが「許可された動作」であると言います

オラクルは、Java SE 7にセキュリティ上の欠陥があるとの主張に異議を唱えたが、同氏に同意しないと判断した研究者は、Oracleが評価を変更しない限り、

Security ExplorationsのCEO、Adam Gowdiak氏は、Oracleに2月19日にリリースされた最新のJava 7アップデートであるUpdate 15の下でJava SE 7に特有のものであることを指摘し、

Oracleは4月16日まで次のJavaアップデートをリリースする予定ではないが、この欠陥に対する悪用が間違っていると強制される可能性がある。 Oracleは、攻撃者が悪用していたJavaブラウザ・プラグインに影響を及ぼすものを含む、Java 7の欠陥を50個修正するために、2月1日にJavaのアウト・オブ・バンド・アップデートをリリースしました。このアップデートは、Facebook、Apple、Microsoftの入社前に更新され、開発者の一部がプラグインの悪用を利用してハッキングされていた。

オラクルのアップデートの前日であるGowdiakは、Java SE 7 Update 11はリモート攻撃に対して脆弱であると警告しました。

Gowdiakによると、この両方の新しい問題により、攻撃者は「Reflection APIを特に興味深い方法で悪用する」可能性があるという。

「Java SE 7 Update 15以下で完全なJavaセキュリティサンドボックスバイパスを手に入れました。

オラクルは昨日、問題の1つを確認した。研究者が「問題55」と付けた問題は欠陥であったが、もう1つは「問題54」を「許可された行動」と争った。

Gowdiak氏は、オラクルの第54号の評価について意見を述べておらず、1週間または2週間以内に職位を変えないかどうかを決めるために、「公然に残す」ことを強制されると述べています。

問題54の特定の動作は許可されているかもしれませんが、Gowdiak氏はJava仮想マシン(VM)環境での個別のセキュリティバイパスを単独で評価すべきではないと述べています。

多くの場合、Javaのセキュリティ上の欠陥を別々に判断するのは難しいため、誤解を招くような結論につながる可能性があります。Java VM環境では、複数のセキュリティバイパス問題を組み合わせて完全なセキュリティ侵害を達成する必要があります。攻撃そのものは、セットアップが非常に簡単です」と彼は言った。

今日seclists.orgに投稿すると、彼は「第54号に対応するミラーケースがアクセス拒否状態とセキュリティ例外につながる」と述べた。

「公開APIはプライベートコードのパスケースに対してパブリックAPIケースであり、パブリックAPIはアクセスを拒否し、セキュリティ例外をスローしますが、プライベートコードパスは問題を通知しません(アクセスは許可されます)。

このWebサイトは、Oracleに報告された欠陥の評価を確認するよう依頼したが、書面の時点では回答を得ていなかった。

OracleがJava 7のゼロデイの欠陥を2つ見つけた後に調査しています; Windows、MacのブラウザでJavaを無効にする方法

[Oracle]が引き続き「許可された動作」として扱われ、脆弱性ではない場合、問題54の詳細のリリースを検討する可能性があります。そのような場合、世論はそれ自体で判断する機会を得るだろう」とGowdiakは言って、「1週間または2週間」で十分であると付け加えた。

オラクル、クラウドベースの倉庫管理用のLogFireを取得

Oracle OpenWorldに目を向けよう

オラクルのデータベース12c R2:ブーム、バスト、またはmehアップグレードサイクル

ビッグデータ分析、Oracleは、クラウドベースの倉庫管理用のLogFire、エンタープライズソフトウェア、アイ・オブ・オアアール・オープンワールド:エンタープライズソフトウェア、エンタープライズソフトウェア、Oracleデータベース12c R2:ブーム、バスト、またはメッシュアップグレードサイクル、クラウド、市場の勢いは、Oracle-NetSuiteの合併中に獲得することを目指す

「Oracle NetSuiteの合併中に利益を得ることを目指す中期的な市場の勢いを掴む