Энтузиасты указали на затягивание выпуска патчей от уязвимостей в Java

Александр Панасенко 24 Октября 2012 - 15:04

...

Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, выразил возмущение политикой компании Oracle, приводящей к затягиванию выпуска исправлений с устранением уязвимости в Java.

В сентябре компании Oracle были переданы детали о критической уязвимости, проявляющейся во всех версиях Java SE 5, 6 и 7, независимо от операционной системы. Одновременно был продемонстрирован рабочий эксплоит, позволяющий при открытии в браузере специально оформленного апплета выполнить код в системе в обход всех уровней изоляции виртуальной машины Java.

Спустя три недели компания Oracle выпустила корректирующие обновления Java SE 6u37 и Java SE 7u9 с устранением 30 уязвимостей. При этом исправление для вышеотмеченной проблемы в состав новых версий включено не было и актуальные версии Java SE по прежнему остались уязвимыми. Исследователи попытались связаться с компанией Oracle и выяснить почему обнаруженная ими критическая проблема осталась неисправленной. В ответ представители Oracle сообщили, что устранение указанной уязвимости требует длительной работы над созданием патча, последующего тестирования качества интеграции с другими продуктами и анализа возникновения возможных регрессивных изменений. Поэтому исправление будет включено только в плановое обновление Java, намеченное на февраль 2013 года, пишет opennet.ru.

В ответ, выявившие уязвимости исследователи решили провести эксперимент и подготовить патч самостоятельно. Каково же было их удивление, когда на разработку патча для открытой кодовой базы OpenJDK потребовалось всего 26 минут. Патч потребовал изменения 25 символов и в силу того, что он не влияет на логику работы и не затрагивает внешние программные интерфейсы, для него даже не требуется создание тестов для изучения возможных регрессивных изменений. В случае публичной передачи подготовленного патча в руки открытых проектов OpenJDK или IcedTea, компания Oracle будет вынуждена повторно прибегнуть к формированию внепланового обновления Java SE, так как на основе анализа патча можно будет определить суть проблемы.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 12 Февраля 2026 - 11:22

Утечки информации Умышленные утечки информации Кража данных Общее

В Сеть выложили базу с 6,8 млрд адресов электронной почты

На одном из популярных форумов для киберпреступников появился интересный пост: пользователь под ником Adkka72424 заявил, что собрал базу из 6,8 млрд уникальных адресов электронной почты. По его словам, на это ушло несколько месяцев; он выгружал данные из логов инфостилеров, ULP-коллекций и различных баз, циркулирующих в Сети.

Цифра звучит почти фантастически. Однако исследователи Cybernews изучили массив объёмом около 150 ГБ и пришли к несколько иным выводам.

Формально автор не соврал: в файле действительно более 6,8 млрд строк. Но внутри оказалось множество дубликатов и откровенно невалидных адресов. После «очистки» реальное количество рабочих имейлов, по оценке экспертов, может составлять около 3 млрд.

Даже если это «всего лишь» 3 млрд, масштаб всё равно впечатляющий. В эпоху автоматизации фишинговых кампаний и атак вида «credential stuffing» объём решает многое. При конверсии всего 0,001% из трёх миллиардов злоумышленники теоретически могут получить около 30 тысяч потенциальных жертв. Для массовых рассылок этого более чем достаточно.

Сам автор публикации утверждает, что хотел «повысить осведомлённость» и привлечь внимание эксперта по утечкам Троя Ханта. Параллельно он дал традиционный совет пользователям: сменить пароли и включить двухфакторную аутентификацию. Впрочем, по комментариям на форуме видно, что аудитория интересуется базой прежде всего как инструментом для кросс-проверки других утечек: сопоставляя записи, злоумышленники могут быстрее находить «свежие» скомпрометированные аккаунты и экономить время.