Para peneliti dari Explorations keamanan telah mengidentifikasi sembilan total cara untuk benar-benar memotong Java sandbox IBM. Dari jumlah tersebut sembilan eksploitasi, lima diantaranya yang baru dan empat adalah isu-isu lama yang belum benar-benar diperhatikan.
Menurut Adam Gowdiak, pendiri dan CEO perusahaan keamanan Polandia, lima baru penuh sandbox eksploitasi bypass didasarkan pada total tujuh kerentanan. Selain itu, masing-masing empat tua isu tidak benar tetap dapat memanfaatkan untuk bypass sandbox penuh.Bug lama dilaporkan oleh Security Explorations IBM kembali pada bulan September 2012. Perusahaan ditangani mereka segera setelah.
Namun, para ahli menemukan bahwa serangan masih bekerja setelah mereka membuat beberapa modifikasi pada kode eksploitasi.
"Masalah dengan perbaikan IBM adalah bahwa mereka bertujuan untuk mendeteksi hanya satu vektor eksploitasi tertentu dan kehilangan banyak skenario lain," kata Gowdiak Softpedia.
Sejauh lubang keamanan baru yang bersangkutan, ahli mengatakan kebanyakan dari mereka disebabkan oleh "penggunaan aman atau implementasi" dari API Refleksi Jawa.
Bukti kode konsep telah dikembangkan untuk setiap kerentanan.
"Masing-masing menunjukkan lengkap IBM J9 Java VM keamanan sandbox pintas. Masing-masing dari mereka telah diverifikasi untuk bekerja di lingkungan versi berikut dari perangkat lunak IBM: IBM SDK, Java Technology Edition, versi 7.0 SR4 FP1 untuk Linux (32-bit x86), membangun pxi3270sr4fp1-20130325_01 (SR4 FP1), "tambah Gowdiak .
0komentar:
Post a Comment