Oracle łata dziurę w Java.com

Koncern Oracle usunął poważny błąd, wykryty w zabezpieczeniach serwisu internetowego Java.com. Luka została znaleziona i zgłoszona pracownikom Oracle przez ekspertów z grupy hakerskiej YGN (która niedawno wykryła podobny błąd w serwisie McAffe.com).

Z informacji przedstawionych przez członków YGN w wywiadzie udzielonym serwisowi NetWork World wynika, że błąd na www.java.com znaleziono w wyniku testów zabezpieczeń witryny, przeprowadzonych bez wiedzy Oracle'a. Koncern zareagował jednak pozytywnie na zgłoszenie - przedstawiciele działu technicznego natychmiast odpowiedzieli na alert, a później szybko usunęli błąd i powiadomili o tym YGN.

Wtedy też obie strony uznały, że informacja o błędzie może już zostać udostępniona - w miniony weekend YGN opublikował opis incydentu na stronie SecLists oraz własnej witrynie. Koncern Oracle na razie oficjalnie nie komentuje sprawy.

Zobacz również:

  • TikTok zmienia strategię dotyczącą bezpieczeństwa danych
  • Błąd w AppGallery pozwala pobierać płatne aplikacje za darmo

Warto przypomnieć, że członkowie YGN Ethical Hacker Group wzięli w ostatnim czasie pod lupę witryny największych graczy ze świata IT i regularnie znajdują błędy w ich zabezpieczeniach. W przypadku luki w serwisie należącym do firmy McAfee skończyło się to niemałym zamieszaniem - na skutek problemów z komunikacją pomiędzy hakerami a firmą błąd został upubliczniony zanim pracownicy McAfee zdążyli go usunąć ze strony. Przedstawiciel YGN Ethical Hacker Group tłumaczył później, że McAfee miał na rozwiązanie problemu kilka tygodni, a mimo tego luka nie została usunięta.

Incydent ten wywołał ożywioną dyskusję na temat legalności testów zabezpieczeń stron WWW, które przeprowadzane są przez niezależnych specjalistów (a nie na zlecenie właściciela danej witryny). Część komentatorów uważa, że takie działanie jest nielegalne (w myśl amerykańskiego prawa), ale inni zwracają uwagę, że samo wyszukiwanie błędów i wskazywanie ich twórcy strony jest jak najbardziej pożytecznym zajęciem. Ich zdaniem właściciele witryn powinni raczej dziękować hakerom, którzy znaleźli i zgłosili im błędy (nawet jeśli zrobili to z własnej inicjatywy).

Dodajmy, że specjaliści zrzeszeni w YGN pozostają anonimowi - członkowie grupy twierdzą, że są młodymi specjalistami IT, zaś ich celem jest skłonienie producentów oprogramowania (szczególnie tego, które związane jest z bezpieczeństwem) do lepszego zabezpieczenia swoich serwisów WWW.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200