Artikel top billede

Medie: Alvorligt Java-hul har været åbent i månedsvis

En gammel kending er på banen igen med beskyldninger mod Oracle for at have ladet Java-platformen stå åben for it-kriminelle månedsvis før en egentlig sikkerhedsopdatering.

Det nok så omtalte sikkerhedshul i Java 7 har stået åbent siden oktober 2012.  

Det skriver netmediet The Next Web på baggrund af analyser fra det polske sikkerhedsfirma Security Explorations, der tidligere har været i haserne på Oracle for manglende sikkerhed i Java-platformen.

The Next Web fortæller, at Java-hullet kunne have været undgået, hvis Oracle havde lyttet bedre efter Security Explorations, som helt tilbage i august 2012 informerede it-giganten om en mangelfuld implementering af Reflection API'et.

Som svampe i en skovbund

Oracle fiksede problemet med en sikkerhedsopdatering i oktober, men denne lappeløsning var ifølge direktøren for Security Explorations, Adam Gowdiak, også mangelfuld, hvilket han beskrev tilbage i oktober 2012.

Adam Gowdiak rundede i oktober 2012 sin gennemgang af den tilsyneladende hullede Java-platform af med følgende sætning:

"Software-fejl er som svampe, der i mange tilfælde kan findes i nærheden af de allerede fundne af slagsen. Det ser ud til, at Oracle enten er stoppet plukningen for tidligt, eller selskabet stadig er dybt begravet i skovbunden."

Langsommelige lappeløsninger

Det er ikke første gang, at Oracle er blevet skudt langsommelig sikkerhedsopdatering af Java i skoene fra Security Explorations.
 
Også ved fundet af det store Java-hul i slutningen af august 2012 var Adam Gowdiak fra det polske sikkerhedsfirma fremme med beskyldninger om, at Oracle var blevet advaret om sikkerhedshuller i april 2012 - altså fire måneder før alarmklokkerne ringede om et stort sikkerhedshul i Java-platformen.

Dengang svarede Oracle ikke på beskyldningerne om mulige advarsler tilbage i april.

I denne omgang brød forlydender om de nye sikkerhedshuller igennem hos medierne i slutningen af sidste uge, hvorefter Oracle var ude med en sikkerhedsopdatering få dage efter.

Det har ikke været muligt for Computerworld at få en kommentar fra Oracle Danmark om den seneste anklage fra Security Explorations om, at it-giganten skulle have overset mulige huller ved sin Java-opdatering tilbage i oktober 2012.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Konsulentydelser og branchespecifikke softwareløsninger til retail, e-Commerce, leasing og mediebranchen.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Dinner Roundtable: Sikre og skalerbare løsninger til den moderne komplekse infrastruktu

Traditionelle IT-sikkerhedsløsninger, såsom VPN'er, er ikke længere tilstrækkelige for de avancerede sikkerhedsbehov og kompleksiteten i moderne virksomheder. Det norske nationale cybersikkerhedscenter anbefaler derfor nu at erstatte SSLVPN/WebVPN-løsninger på grund af sårbarheder.

18. september 2024 | Læs mere


Nye forretningsmæssige gevinster med Microsoft Dynamics 365

Eksperter fra CGI stiller skarpt på hvordan, du lærer også hvorfor det er vigtigt at have fokus på både processer, teknologi og mennesker - og hvordan du kommer i gang med løbende optimering af forretningsudvikling.

25. september 2024 | Læs mere


NIS2: Indhold, krav og konsekvenser- sidste chance for at blive klar

Vi sætter på denne dag fokus på hvad NIS2-direktivet kommer til at betyde for din organisation. Du et overblik over direktivet og de skærpede krav, så du undgår bøder og sanktionering.

26. september 2024 | Læs mere