为关键Java缺陷的三岁IBM补丁被打破了
安全研究人员发现,三年前IBM发布的补丁以其自己的Java实现中的关键漏洞是无效的,可以很容易地绕过漏洞再次利用缺陷。
Polish公司安全探索的研究人员发现了破碎的补丁,该探索发现漏洞并于2013年5月向IBM报告。IBM于2013年7月颁发了修复其Java开发套件的更新。
IBM维护其自己的Java虚拟机和运行时的实现。此版本的Java包含在其中一些公司的企业软件产品中,以及IBM Software Developer套件中,可用于AIX,Linux,Z / OS和IBM i等平台。
“安全探索首席执行官亚当·戈迪亚克的问题”问题的实际根本原因“,”安全探索首席执行官,在周一向全面披露邮件列表发送的消息中表示。“代码中的任何位置都没有安全检查。这些补丁完全依赖于隐藏代码中易受攻击的方法的想法,并且代理类的后面是足以解决这个问题的问题。“
这是第六次公司发现了来自IBM的无效补丁,了解安全探索所发现的一些Java问题,Gowdiak表示。他说,对于一个漏洞,IBM释放了两次破碎的贴片。
IBM在一份声明中表示,它意识到漏洞并正在努力解决它。
安全探索最近改变了其漏洞披露政策,并表示它将不再容忍漏洞的漏洞,以便它负责任地向供应商报告。该公司现在将公开披露如何绕过这些修复,而不会事先通知供应商。
这是公司上个月在发现Oracle于2013年发布的修补程序以其自身的Java运行时发布的修补程序也无效。安全探索“最近的公开披露,其中包括绕过补丁的概念证明代码,使得漏洞在最新版本的Java中再次被强迫oracle在3月23日发布紧急更新。
同样的事情现在正在使用IBM补丁。安全探索发布了一个详细的技术报告,解释了如何绕过公司的3岁的修复甚至发布的概念证明代码,以表明漏洞仍然可以在最新版本的IBM SDK Java技术版中被利用。
盖迪亚克说,破坏IBM补丁只需要“对[7月] 2013年发表的原始概念验证代码的几个小变化,”Gowdiak说。“我们验证了可以通过它实现完整的Java安全沙箱逃生。”
