Na blogu dyrektor bezpieczeństwa Oracle pojawił się przedziwny wpis, w którym potępia ona używanie inżynierii wstecznej do analizy kodu produktów Oracle oraz wyśmiewa programy bug bounty. Wpis został usunięty, ale niesmak pozostał.… Czytaj dalej
Niektóre błędy od razu wyglądają podejrzanie. Szczególne wątpliwości nas ogarniają, gdy nie jest to typowa pomyłka programisty, błąd jest dobrze ukryty przed przypadkową identyfikacją i pozwala na przejęcie kontroli nad systemem.… Czytaj dalej
Nasz rodak, znany z dogłębnej wiedzy na temat bezpieczeństwa Javy, ponownie wytyka Oraclowi popełnione błędy. Oprócz znalezienia (i odpowiedzialnego zgłoszenia) dziesiątek błędów w Javie oraz wykrycia błędu w poprawce poprawiającej inny błąd, Gowdiak poinformował właśnie, że odkrycie i wykorzystanie najnowszego błędu 0day było możliwe, ponieważ Oracle niezbyt dokładnie załatał poprzedni błąd zgłoszony przez Gowdiaka.… Czytaj dalej
Kafeine, bloger znany z analizowania zagrożeń typu 0day, ogłosił właśnie, że odkrył aktywny, skuteczny atak na najnowszą wersję Javy (1.7u10). Jest także prawdopodobne, że atak jest skuteczny wobec wcześniejszych wersji. Kafeine poinformował także, że atak może dotyczyć setek tysięcy internautów, lecz na razie wstrzymał się z publikacją szczegółów (choć i tak pewnie w najbliższych dniach lub godzinach pojawi się odpowiedni moduł Metasploita).… Czytaj dalej
Producenci baz danych nie mają w tym roku szczęścia. Najpierw okazało się, że do bazy MySQL można pewnych warunkach zalogować się z dowolnym hasłem, a teraz odkryto sposób na wydobycie hasha hasła z bazy Oracla. Brakuje tylko 0day’a na MSSQL.… Czytaj dalej
Najpierw okazało się, że Oracle wiedział o błędach w Javie od kwietnia. Potem wydał poprawkę, ale dopiero po 4 dniach od ujawnienia krążących po sieci exploitów. Teraz okazuje się, że w wydanej poprawce znalazły się nowe błędy.… Czytaj dalej
© 2021 Zaufana Trzecia Strona
