Oracle признала опасность Java

Oracle признала опасность Java

Oracle согласилась выполнить требования Федеральной комиссии США по торговле (FTC) в обмен на прекращение расследования в отношении корпорации. Компания пошла на это после того, как FTC выдвинула обвинение в том, что корпорация вводит пользователей в заблуждение относительно безопасности среды исполнения Java SE.

Суть обвинения

Согласно FTC, Oracle была не права, указывая, что патчи для Java SE делают среду безопаснее путем устранения уязвимостей. Однако по крайней мере с 2010 г. при установке патчей уязвимости продолжают оставаться в старых модулях Java SE, которые остаются на компьютере.

«Oracle не говорит или не предпринимает достаточных усилий для того, чтобы донести до пользователей тот факт, что в многочисленных случаях обновление Java SE не удаляет и не заменяет устаревшие версии Java SE на компьютере, поэтому он остается уязвим к атакам, которые хакеры могут провести благодаря уязвимостям, содержащимся в устаревших версиях Java SE», — заявили в FTC.

По данным FTC, инсталлятор Java SE при установке обновления не удаляет версии среды ниже Java SE version 6 update 10.

Комиссия начала соответствующее расследование из-за популярности Java SE. Эта среда исполнения установлена более чем на 850 млн персональных компьютеров в мире.

Условия соглашения

По условиям соглашения, Oracle обязуется в процессе установки обновления уведомлять пользователей о наличии на их компьютерах устаревших версий Java SE, сообщать об опасности их сохранения и предлагать возможность их удаления. Кроме того, Oracle обязуется проинформировать своих пользователей о достигнутых с FTC договоренностях, в том числе посредством социальных сетей, и объяснить, как можно самостоятельно удалить старые версии среды, передает cnews.ru.

Соглашение опубликовано на сайте FTC. В течение 30 дней комиссия будет принимать комментарии к нему. После этого ведомство примет решение об исполнении соглашения.

Осведомленность компании

Oracle в действительности была осведомлена о наличии проблемы. Во внутренних документах корпорации говорилось, что после установки патчей злоумышленники по-прежнему имеют возможность совершать атаки при помощи уязвимостей в прежних версиях среды. В результате руководство компании пришло к выводу, что «механизм обновления Java недостаточно агрессивен или просто не работает», сообщает Ars Technica.

Тем не менее, компания никогда не информировала об этом своих пользователей и продолжала использовать этот же самый механизм обновления в Java SE 7 и в наиболее свежей версии Java SE 8.

«Прекратите искать уязвимости в наших продуктах»

В августе 2015 г. глава Oracle по безопасности Мэри Энн Девидсон (Mary Ann Davidson) опубликовала в корпоративном блоге заметку, в которой попросила исследователей прекратить изучать продукты компании с целью поиска в них уязвимостей. По словам Девидсон, для этого исследователи применяют обратный инжиниринг, что является нарушением лицензионного соглашения на использование продуктов.

Кроме того, Девидсон дала понять, что Oracle лучше справляется с поиском уязвимостей и получает множество ложных сообщений. «Потому, пожалуйста, не тратьте ваше время на то, чтобы сообщить нам, что увидели маленьких зеленых человечков в нашем коде», — заявила она в своем обращении. Вместо этого, добавила она, стоило бы заняться укреплением своей собственной ИТ-инфраструктуры. Вскоре после публикации заметка была удалена.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

70% opensource-проектов редко фиксятся или заброшены

Согласно результатам исследования, проведенного в ИБ-компании Lineaje, 95% уязвимостей в приложениях возникают по вине подключаемых компонентов с открытым кодом. В половине случаев ситуацию невозможно исправить из-за отсутствия патча.

Более того, 70% opensource-проектов, на которые полагается рабочий софт, уже не поддерживаются либо находятся в неудовлетворительном состоянии. Статистика получена на основе анализа более 7 млн пакетов с открытым исходным кодом.

Примечательно, что проекты, за состоянием которых хорошо следят, оказались в 1,8 раза более уязвимыми, чем заброшенные, — видимо, частые изменения повышают риск привнесения ошибок.

Подобная опасность также выше, когда над проектом работают менее 10 или более 50 человек. В первом случае риск просмотреть проблему безопасности на 330% превышает показатель для команды средней величины, во втором — на 40%.

Проблему усугубляет тот факт, что зависимость может содержать до 60 слоев разнородных компонентов с открытым кодом, объединенных в одну структуру — как лего. В этом случае сложно не только оценить риски, но и принять меры для смягчения последствий эксплойта.

Исследование также показало, что 15% opensource-компонентов в приложениях с зависимостями имеют множество версий, что тоже затрудняет латание дыр. Софт средней величины в ходе работы может подтягивать 1,4 млн строк кода, написанного на 139 языках, в том числе небезопасных по памяти.

Треть подключаемых пакетов (34%) имеют американское происхождение, 13% — российское. В 20% случаев разработчик из США — аноним; для России этот показатель вдвое ниже.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru