专家表示,在Java的一些非常公众漏洞中,显然无法正确修补这些错误,甲骨文必须大大加强其安全游戏。
专家周一表示,在Java的一些非常公众漏洞中,令人惊讶的是,显然无法妥善修补这些错误,甲骨文必须大大加强其安全游戏。
“Oracle应该只是拍摄一个mulligan并重新设计java,然后在每个人都完全失去信仰之前,那些担心泄漏到每个Oracle产品上,”Ncircle Security的安全操作总监Andrew Storm说,在电子邮件中。
风暴和其他人在Java的浏览器插件中对最新的“零日”漏洞做出反应,两周前发现了一片瑕疵由几个卷发套件开发。Oracle于1月13日修补了这个错误,但研究人员很快就指出了贴片本身被缺陷了。
即使Oracle修补了漏洞,美国电脑紧急准备团队(US-CERT),美国国土安全部的一部分也是持续敦促用户的高度不寻常的一步禁用Java.在他们的浏览器中,引用“这个和先前的Java漏洞的数量和严重性”作为其原因。
在电子邮件访谈中,一些专家提供了对Oracle无法正确修补最新漏洞的解释,并敦促该公司采取更严格的发展实践,就像微软差不多十年前一样。
Adam Gowdiak,Security Explorations的创始人兼首席执行官,已向Oracle报告数十名Java漏洞。他是第一个断言公司的紧急更新13介绍了两个新的错误,并声称Oracle应该在java代码的同一部分解决2012年8月缺陷时修补了最新的公开漏洞漏洞。
今天Gowdiak认为,甲骨文一直犯了邋的工作,然后引用其他失败。“与零日Java攻击代码有关的事件利用甲骨文已知的安全问题显示该公司的三次java修补程序发布周期并不真正保护Java用户的安全性和隐私,”Gowdiak说。
风暴在一些苛刻的批评中砍了。
“显然,Java开发或设计周期中有一些破碎的东西,”风暴说。“Oracle需要唤醒并学习安全的软件开发。[但]这可能是一个管道梦想[因为],因为通常的甲骨文似乎在客户的困境中似乎是冷漠和不感兴趣的。”
HD Moore,Sapid7的首席安全官员和Metasploit的创造者,合法和犯罪黑客使用的开源穿透测试工具包,愿意在上周缺陷的更新时削减Oracle一些懈怠。
“我们必须要记住,它在胁迫下发布,确实有助于消费者受到损害的直接问题,”甲骨文的迅速转弯摩尔说。他还假设Oracle工程师继续为更高质量的更新工作。“但鉴于其复杂性,并要求向后兼容性,可能有一段时间在这类缺陷最终放置之前,”摩尔补充说。
所有三位专家都呼吁Oracle采用Microsoft-esque方法,其中安全性是开发过程的一个组成部分。
该过程包括Microsoft的Sucket Development Lifecycle,或SDL,该过程包括创建产品的常规代码审查,包括旨在减少漏洞次数的开发实践。Windows Vista是第一个使用SDL开始完成的Microsoft操作系统。
虽然Oracle有类似的东西被称为“oracle安全编码标准”,而且有已发布的安全编码指南对于第三方Java开发人员来说,目前尚不清楚该公司是否在2010年从Sun Microsystems继承的Java上使用了自己的安全编码标准实践。
如果有,专家们说,这不起作用。
“如果Oracle希望Java在浏览器中取得成功,他们将需要对安全模型进行严重投资,”摩尔表示,摩尔(Oracle Secure Coding标准)“已经不够了”。
“现在的Oracle需要与Microsoft Trustworthy Computing计划类似,”Redmond,Wash的Storms。开发商的总体安全志预防项目,于2002年在Thin-CEO之后推出比尔盖茨着名的备忘录。“[甲骨文]需要一个强大的愿景和强迫组织通过围绕安全性建立”管理“的能力。”
Gowdiak像风暴一样击败了同样的Java鼓。“从我们所学到的到目前为止的知识java se 7码,整体媒体是某些新的代码特征/新增的补充不是任何安全审查的主题,”他说。
更改Java的安全模型将不容易,Moore承认,与向后兼容性有何时;Java的野心成为所有用户和所有平台的所有东西,从企业和消费者到桌面,移动和网络;及其对翻译级沙箱的依赖。
即使它的灵活性也有助于其安全困境。“Java具有荒谬的功能,”摩尔说,他们谴责其许多问题。
他的建议:窃取来自Adobe,Google和Microsoft的页面,该页面已经制定了流程级沙箱,并减少了不受信任的Java applet可以访问的API的数量。
要求Oracle在Java安全性上获取句柄不是新的。2012年中期,在两个Java零天之前,强迫Oracle发布紧急更新,安全专业人士指出了一系列问题,从遥控的更新到LAX编码,它将Java推到了漏洞图表的顶部。
但即使Oracle Heeds这些电话,专家警告说,它是一个漫长的滑轨。
“在一天结束时,Oracle的主要客户是企业,”摩尔说。“与像Adobe这样的公司相比,他们无法在其消费产品中处理安全问题。”
GREGG Keizer涵盖了Microsoft,安全问题,Apple,Web浏览器和Computerworld的一般技术突发新闻。在Twitter上关注Gregg@gkeizer., 上Google+或订阅格雷格的RSS饲料。他的电子邮件地址是gkeizer@computerworld.com.。
看到更多来自Computerworld.com上的Gregg Keizer。
阅读有关恶意软件和漏洞的更多信息在Computerworld的恶意软件和漏洞主题中心。
这个故事,“专家刺激Oracle来修复破碎的Java安全性”最初发布Computerworld. 。