Oracle bekräftar Java 7 fel, säger en annan är “tillåtet beteende”

Oracle har bestridit ett påstående som Java SE 7 innehåller en säkerhetsbrist, men forskaren som fann det inte håller och säger att han kan släppa detaljer nästa vecka om inte Oracle ändrar sin bedömning.

Adam Gowdiak, VD för polska bevakningsföretag Security Explorations, rapporterade två nya säkerhets “problem” till Oracle på måndag, notera att de var specifika för Java SE 7 nedan Update 15, den senaste Java 7 uppdatering som Oracle släppt den 19 februari.

Oracle är inte planerad att släppa nästa Java uppdatering förrän den 16 april men om en utnyttja för bristerna når fel händer, kan det bli tvungen att. Oracle särskilt släppt en out-of-band uppdatering för Java den 1 februari för att fixa 50 Java 7 brister, bland annat ett som påverkar Java webbläsare plugin som angripare utnyttjade. Uppdateringen föregås, antagning av Facebook, Apple och Microsoft, att en del av deras utvecklare hade hackats med hjälp av en utnyttja för plugin.

Dagar före Oracles uppdatering Gowdiak, varnade också för att Java SE 7 Update 11, var utsatta för en avlägsen attack.

Gowdiak säger både nya frågor kan tillåta en angripare att “missbruka Reflection-API i ett särskilt intressant sätt.”

“Vi fick en komplett Java säkerhetssandlåda bypass under Java SE 7 Update 15 och under,” han berättade website.com via e-post.

Oracle i går bekräftade en av de frågor som forskaren etiketter “fråga 55,” var ett fel, men bestred andra, “fråga 54”, som “tillåtet beteende”.

Gowdiak håller inte med Oracle bedömning av frågan 54 och säger att han kommer att tvingas att “lämna det till allmänheten” för att avgöra om det inte ändrar sin position inom en eller två veckor.

Medan specifikt beteende i fråga 54 kan tillåtas, säger Gowdiak att enskilda säkerhet förbi i en Java Virtual Machine (VM) miljön bör inte bedömas isolerat.

“I många fall är det svårt att bedöma Java säkerhetsbrister separat eftersom detta kan leda till felaktiga slutsatser. I Java VM miljö, vanligen behöver mer än en partiell säkerhet bypass fråga som ska kombineras tillsammans för att uppnå en fullständig säkerhet kompromiss. När det gäller attacken själv, är det ganska lätt att installera “, sade han.

Meddelanden till seclists.org i dag, sade han att det är “en spegel fall motsvarar Issue 54 som leder till tillgång nekas ett säkerhetsundantag tillstånd och”.

“Det är en allmän API fall kontra privat kodsökvägen fall. Offentlig API nekar åtkomst och en säkerhetsundantag kast, medan den privata kodsökvägen inte signalera några problem (tillgång är tillåten),” förklarade han.

webbplatsen bad Oracle att bekräfta sin bedömning av de rapporterade brister men hade inte fått något svar på i skrivande stund.

Oracle undersöker efter ytterligare två Java 7 zero-day brister hittades, Inaktivera Java i din webbläsare på Windows, Mac

Vi kan börja med tanke på lanseringen av Issue 54 detaljer om [Oracle] fortfarande behandlar det som “tillåtet beteende” och inte en sårbarhet. I ett sådant fall kommer den allmänna opinionen har möjlighet att göra en bedömning på egen hand “, säger Gowdiak, och tillade att” en eller två veckor “borde räcka.

Oracle förvärvar logfire för molnbaserad lagerhantering

Kollat ​​Oracle Openworld: Vad som väntar

Oracle databas 12c R2: Boom, byst eller meh uppgraderingscykeln framåt?

Stora datamängder, Oracle förvärvar logfire för molnbaserad lagerhantering, Enterprise, Eyeing Oracle Openworld: vad som väntar, Enterprise, Oracle databas 12c R2: Boom, byst eller meh uppgraderingscykeln framåt, Cloud, Arbetsdag hastigt grepp mitten? market fart, syftar till att få mitt Oracle-NetSuite fusion

? Arbetsdag griper mid-market fart, syftar till att få mitt Oracle-NetSuite fusion