为关键Java缺陷的三岁IBM补丁被打破了
OFCOM从频谱出价阻止BT-EE
Black Cab客户现在可以用卡和现金付款
高通公司的ARM服务器芯片向前,而ApplicationMicro造成前方
Microsoft认可欧盟 - 美国隐私盾牌数据共享协议
流行门控制器中的缺陷允许黑客轻松解锁安全门
软件定义的网络如何保护关键系统
jamf使部署苹果设备容易
Adobe使用共享责任来满足安全挑战
以99美元的价格将智能手机转换为3D打印机
地铁银行将IT基础架构移动到云
以下是如何显着加快Windows 7扫描进行更新
BT促进了中小企业和消费者客户的宽带速度
2016年十大NHS IT故事
公共账户委员会HMRC数字计划的可行性
谷歌的首席执行官刚刚在计算中被称为下一个浪潮,它不是VR
学徒在IT服务部门蓬勃发展
对非法公布的版权图像的超链接仍然是合法的,顶级欧洲法官表示
欧洲机构寻求在网络犯罪上的撑鞋垫合作
行业返回5G的政府行动
CIO采访:吉姆福勒,葛
Facebook猜测图片中的内容,以帮助视力受损
HP笔记本电脑 - 平板电脑混合动力器是AMD'Bristol Ridge'芯片的第一个
联邦网络团队告诉Windows用户退出QuickTime
我们认为我们对苹果汽车了解的内容
芬兰航空公司通过Apple和I​​BM编辑核心业务流程
Oracle寻求88亿美元用于谷歌在Android中使用Java
SCACE下降三个节点最小HC3超级融合
CNI专家表示,网络安全是关于大团队的努力
万豪酒店提供虚拟网站之旅
OS X中的过时的GIT版本将开发人员面临风险
FBI,DEA和ICE是2016年至今的顶级Cellebrite客户
巴塞罗那面临着使其智能城市真正聪明的挑战
Microsoft继续以纪录的浏览器分享
黑客:这就是我闯入黑客团队的方式
HPE专注于混合IT和IOT作为收入下降
加快旨在恢复荣耀的日子
Verizon Taps Red Hat和OpenStack为其NFV部署
Microsoft Ballyhoos 270M Windows 10活动用户
黑客可以滥用iOS移动设备管理协议以提供恶意软件
数据科学家希拉里梅森想向您展示(近)未来
HP Inc使工作削减专注于可持续业务增长
政府在科技项目中投资220万英镑,以帮助“未来证明”后克雷克利特经济
一个愚蠢的应用程序揭示了谷歌的Android的宏伟计划
一半的车辆网络漏洞可以给黑客控制,研究表演
Strider Cyber​​攻击小组部署Sevionage的恶意软件
Boxworks 2016:三家不同的CIO如何处理数字转换
惠普公司为三星打印机支付超过1亿美元
Mozilla水龙头可能的雷鸟电子邮件客户端
马来西亚和新加坡面对IT人才短缺
您的位置:首页 >科技 > 技术前沿 >

为关键Java缺陷的三岁IBM补丁被打破了

2021-06-27 14:44:50 [来源]:

安全研究人员发现,三年前IBM发布的补丁以其自己的Java实现中的关键漏洞是无效的,可以很容易地绕过漏洞再次利用缺陷。

Polish公司安全探索的研究人员发现了破碎的补丁,该探索发现漏洞并于2013年5月向IBM报告。IBM于2013年7月颁发了修复其Java开发套件的更新。

IBM维护其自己的Java虚拟机和运行时的实现。此版本的Java包含在其中一些公司的企业软件产品中,以及IBM Software Developer套件中,可用于AIX,Linux,Z / OS和IBM i等平台。

“安全探索首席执行官亚当·戈迪亚克的问题”问题的实际根本原因“,”安全探索首席执行官,在周一向全面披露邮件列表发送的消息中表示。“代码中的任何位置都没有安全检查。这些补丁完全依赖于隐藏代码中易受攻击的方法的想法,并且代理类的后面是足以解决这个问题的问题。“

这是第六次公司发现了来自IBM的无效补丁,了解安全探索所发现的一些Java问题,Gowdiak表示。他说,对于一个漏洞,IBM释放了两次破碎的贴片。

IBM在一份声明中表示,它意识到漏洞并正在努力解决它。

安全探索最近改变了其漏洞披露政策,并表示它将不再容忍漏洞的漏洞,以便它负责任地向供应商报告。该公司现在将公开披露如何绕过这些修复,而不会事先通知供应商。

这是公司上个月在发现Oracle于2013年发布的修补程序以其自身的Java运行时发布的修补程序也无效。安全探索“最近的公开披露,其中包括绕过补丁的概念证明代码,使得漏洞在最新版本的Java中再次被强迫oracle在3月23日发布紧急更新。

同样的事情现在正在使用IBM补丁。安全探索发布了一个详细的技术报告,解释了如何绕过公司的3岁的修复甚至发布的概念证明代码,以表明漏洞仍然可以在最新版本的IBM SDK Java技术版中被利用。

盖迪亚克说,破坏IBM补丁只需要“对[7月] 2013年发表的原始概念验证代码的几个小变化,”Gowdiak说。“我们验证了可以通过它实现完整的Java安全沙箱逃生。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。