onsdag 16 januari 2013

Oracles problembarn Java

Läste precis en intressant artikel om det senaste Java-debaklet. Några godbitar ur den:

  • Cirka 50% av exploitandet förra året var mot Java (enl. Kaspersky)
  • H D Moore säger att det identifierats så många brister i Java att det skulle ta Oracle 2 år att fixa bara de som är rapporterade.



För sex år sedan skrev jag mitt examensarbete om penetrationstester och utnämnde i det Oracle som kungen av defaultlösenord. De fick också en ordentlig släng av sleven när det kom till deras hantering av rapporterade säkerhetsbrister:
Det andra exemplet är Oracle, och hur de hanterar rapporterade säkerhetshål. Oracle har fått otroligt mycket kritik [125,126] för sitt illa skötta säkerhetsarbete, främst från dem som själva forskar i deras produkter och hittar en uppsjö med allvarliga säkerhetshot. [...]  För att sedan fortsätta så är tiden mellan rapporterad sårbarhet och en tillgänglig patch väldigt stor [128]. Patcharna som sedan kommer är illa skrivna och fixar inte alltid problemet [128]. [...]  Om så är fallet är det idag (2006-05-03) rimligt att anta att Oracle DBMS står med ett minimum på 400-500 ofixade men kända sårbarheter, utifrån siffror givna av bara två säkerhetsforskare på antalet öppna ofixade sårbarhetsfall de har liggande [130].
Sex år tycks väldigt lite ha hänt på Oracle. Nu är situationen liknande, men med Java istället för RDBMS. Den här gången kommer det dock med en helt annan teknisk träffyta och helt annan uppmärksamhet från media. Även mainstream media rapporterar nu om Java, och det kommer in ärenden till webbsiter som använder Java.

Får se om något tar skruv den här gången då...

söndag 13 januari 2013

Pixmania Phishing

Mer kvalificerad phishing. Fick ett phishing mail till min unika pixmania-adress. Skall se ut som skickat från UPS med ett trackingnummer. Klart man är nyfiken på vad Pixmania skickar en, trots att jag inte beställt nåt!



Intressant timing tillsammans med 0-day sårbarheten i java.

P.S. Sidan man kommer till om man klickar på "Track this delivery" finns inte längre kvar, men länken pekade till http://juliettefotografie.nl/tracking.ups.com/