Java-patch opent oude gaten
Oracle’s patch van een zwakke plek in Java 7 laat alsnog …
Oracle’s patch van een zwakke plek in Java 7 laat alsnog misbruik van gekende zwakheden toe.
Een recente als ‘bijzonder kritiek’ omschreven zwakte in Java 7 kreeg ondertussen al een patch die het acute probleem lijkt te stoppen. Dat laatste meldt Security Explorations op Bugtraq, want de genomen actie “zorgt ervoor dat geen van onze ‘proof of concept’ code die de sandbox volledig omzeilde, nog werkt.”
Tegelijk blijkt dat security nooit een gedane zaak is, maar een onafgebroken continu proces. Immers, in de patch werd een nieuwe securityzwakte ontdekt, waardoor een aantal mogelijkheden tot misbruik zich opnieuw aandienen. Het bedrijf stelt eens te meer ‘proof of concept’-code naar Oracle te hebben gestuurd.
Het probleem van patches (of updates) die op hun beurt weer problemen veroorzaken, is in het geheel niet ongebruikelijk. Patches worden immers wel getest, zij het niet altijd met een zelfde nadruk op ‘kwaliteitsbewaking’, maar problemen kunnen nooit worden uitgesloten. Ook al omdat de gevolgen voor software van derden niet altijd even makkelijk in te schatten zijn. Bedrijven zullen dan ook vaak een patch eerst intern testen, vooraleer deze bedrijfswijd in productie te brengen. Het probleem is dat een dringende security-gerelateerde patch normalerwijze zo dringend is dat er geen tijd is voor eigen testen, of dat zo’n update/patch automatisch wordt uitgevoerd. Met soms zware problemen, zoals securityspecialist McAfee (en zijn klanten) een paar jaar geleden tot zijn spijt moest ervaren met een antivirusupdate.
Testen inzake securitykwetsbaarheden is overigens extra moeilijk omdat een toepassing functioneel perfect kan werken, maar toch op één of meerdere wijzen onveilig kan zijn. En de lijst van mogelijke securityproblemen is helaas lang en ondanks alles nog groeiend.
Fout opgemerkt of meer nieuws? Meld het hier