Kolejne krytyczne błędy w Javie, czyli niekończąca się opowieść
Czytelnikom naszego serwisu chyba nie trzeba przedstawiać Adama Gowdiaka. Najczęściej ostatnio cytowany w zagranicznych publikacjach polski badacz kolejny raz pokazał, że bezpieczeństwo Javy jest dalekie od oczekiwań użytkowników.
Odkrywca licznych luk bezpieczeństwa w Javie, w tym słynnego ostatnio błędu, wykorzystywanego przez chińskich włamywaczy, nie daje spać specjalistom Oracla. Właśnie ogłosił odkrycie kolejnego, poważnego problemu w oprogramowaniu, z którego podobno korzysta miliard osób na całym świecie.
Według komunikatu Adama Gowdiaka, jego firma, Security Explorations, odkryła kolejny błąd Javy, pozwalający na ominięcie zabezpieczeń „piaskownicy” i wykonanie dowolnego kodu. Błąd ten występuje we wszystkich używanych na rynku wersjach: 5, 6 oraz 7. Odkrycie to jest szczególne z kilku względów. Po pierwsze, to jubileuszowy, 50ty błąd odkryty przez Security Explorations. Po drugie, publikacja odkrycia zbiega się z dużą imprezą Oracla, czyli odbywającą się za 4 dni konferencją JavaOne w San Francisco. Po trzecie, błąd ten omija podstawowe zabezpieczenia wirtualnej maszyny Javy.
Security Explorations tradycyjnie przekazało Oraclowi pełen raport opisujący odkryty błąd wraz z przykładowym kodem go wykorzystującym. Testowy kod działa bez problemu w systemie Windows 7 z najnowszymi łatami i ze wszystkimi przeglądarkami w najnowszych dostępnych wersjach.
Po raz kolejny rekomendujemy wyłączenie Javy wszystkim użytkownikom, którzy jej nie potrzebują na co dzień. Oraclowi za to rekomendujemy, by w końcu wynajął Security Explorations do kompleksowej analizy kodu źródłowego swojego produktu…
Podobne wpisy
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Ataki rosyjskich szpiegów na polskie placówki dyplomatyczne wykryte i opisane przez CERT Polska i SKW
- ABW ocenzurowało stronę publikującą e-maile rządu ze skrzynki pocztowej ministra Dworczyka
- 25 miejsc, gdzie warto czytać po polsku o bezpieczeństwie
A ja rekomenduję używanie jakiejś alternatywnej implementacji javy jak openjdk albo icedtea.
Osobiście od wielu lat nie używam Javy na komputerze stacjonarnym, teraz już też na notebookach. Nie używam gdyż nie potrzebuję.
Kilka tygodni temu, przez jedną z luk w Javie dostałem w prezencie trojana, którego natychmiast zlikwidowałem wraz z przyczyną czyli Javą.
Jeśli nie można liczyć na poważne podejście do sprawy Oracle to ja podziękuję za ich produkty i nie zamierzam się nad nimi rozczulać, bezpieczeństwo danych to poważna sprawa.
Więc o ile brak Javy na komputerze stacjonarnym, który jest głównym narzędziem do pracy, był od dawna, jak się okazuje, dobrą decyzją, tak teraz to samo jest na notebookach. Java z nich wyleciała i już nie wróci.
To gnojony Flash nie miał aż takich problemów jak ma Java obecnie z dziurami.