Security Exploration: Oracle не считает обнаруженную нами брешь уязвимостью

На своем официальном web-сайте компания Security Exploration опубликовала технические подробности относительно выявленной ими в Java бреши, однако специалисты выражают сомнения, является ли оговариваемая проблема уязвимостью. В Oracle, в свою очередь, классифицировали проблему, как «допустимое поведение» программы.

«Состоянием на 18 марта 2013 года Oracle не предоставила какого-либо подтверждения тому, что уведомление №54 рассматривается компанией, как уязвимость в системе безопасности, - следует из сообщения компании . – В Security Exploration мы уверены, что в период три недели (с 25 февраля по 18 марта) является достаточным сроком для крупных производителей программного обеспечения, чтобы окончательно подтвердить или опровергнуть наши предположения. Особенно это касается поставщиков, которые являлись предметом серьезной критики в вопросах компетентности и оперативности устранения уязвимостей в своем программном обеспечении».

Эксперты Security Exploration опубликовали отчет , содержащий подробную информацию о выявленной ими проблеме, а также пояснения того, почему компания считает это уязвимостью и официальные ответы сотруднков Oracle.

Из документа следует, что используя ошибку, описанную в вышеупомянутом уведомлении №54 невозможно успешно атаковать пользователей Java. Однако, если использовать описанную ими проблему в совокупности с уязвимостью, описанной в уведомлении №55, злоумышленник может полностью обойти систему безопасности песочницы Java.