Энтузиасты указали на затягивание выпуска патчей от уязвимостей в Java

Александр Панасенко 24 Октября 2012 - 15:04

...

Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший серию нашумевших уязвимостей в Java SE, выразил возмущение политикой компании Oracle, приводящей к затягиванию выпуска исправлений с устранением уязвимости в Java.

В сентябре компании Oracle были переданы детали о критической уязвимости, проявляющейся во всех версиях Java SE 5, 6 и 7, независимо от операционной системы. Одновременно был продемонстрирован рабочий эксплоит, позволяющий при открытии в браузере специально оформленного апплета выполнить код в системе в обход всех уровней изоляции виртуальной машины Java.

Спустя три недели компания Oracle выпустила корректирующие обновления Java SE 6u37 и Java SE 7u9 с устранением 30 уязвимостей. При этом исправление для вышеотмеченной проблемы в состав новых версий включено не было и актуальные версии Java SE по прежнему остались уязвимыми. Исследователи попытались связаться с компанией Oracle и выяснить почему обнаруженная ими критическая проблема осталась неисправленной. В ответ представители Oracle сообщили, что устранение указанной уязвимости требует длительной работы над созданием патча, последующего тестирования качества интеграции с другими продуктами и анализа возникновения возможных регрессивных изменений. Поэтому исправление будет включено только в плановое обновление Java, намеченное на февраль 2013 года, пишет opennet.ru.

В ответ, выявившие уязвимости исследователи решили провести эксперимент и подготовить патч самостоятельно. Каково же было их удивление, когда на разработку патча для открытой кодовой базы OpenJDK потребовалось всего 26 минут. Патч потребовал изменения 25 символов и в силу того, что он не влияет на логику работы и не затрагивает внешние программные интерфейсы, для него даже не требуется создание тестов для изучения возможных регрессивных изменений. В случае публичной передачи подготовленного патча в руки открытых проектов OpenJDK или IcedTea, компания Oracle будет вынуждена повторно прибегнуть к формированию внепланового обновления Java SE, так как на основе анализа патча можно будет определить суть проблемы.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 27 Августа 2025 - 16:39

GenAI (генеративный искусственный интеллект) Домашние пользователи Корпорации

Первый иск к OpenAI: родители винят ChatGPT в трагедии подростка

В США подан первый иск против OpenAI, качающийся суицида несовершеннолетнего. Родители 16-летнего Адама Рейна утверждают, что их сын на протяжении нескольких месяцев обсуждал с ChatGPT свои планы покончить с собой, а затем свёл счёты с жизнью.

Обычно потребительские чат-боты с ИИ оснащены защитными механизмами: если пользователь говорит о намерении причинить себе вред, система должна предлагать помощь или контакты горячих линий.

В случае Адама как пишет The New York Times, это действительно происходило — однако подростку удалось обойти защиту, объяснив, что информация о методах суицида нужна ему для «фиктивного рассказа».

OpenAI в блоге признала уязвимость подхода: модели лучше справляются с короткими диалогами, а в длинных переписках часть «обучения на безопасности» постепенно теряет эффективность. Компания утверждает, что продолжает совершенствовать свои продукты, чтобы надёжнее реагировать на чувствительные темы.

Проблема, впрочем, не ограничивается одной корпорацией. Подобный иск подан и против Character.AI, а случаи, когда ИИ-чат-боты оказывались вовлечены в трагедии или вызывали у пользователей иллюзии и навязчивые идеи, фиксировались и раньше.

История Адама стала первым судебным прецедентом против OpenAI и, вероятно, откроет новую главу дискуссии о том, где проходит граница ответственности разработчиков ИИ за последствия общения их систем с людьми.

Энтузиасты указали на затягивание выпуска патчей от уязвимостей в Java

Читайте также