为关键Java缺陷的三岁IBM补丁被打破了

安全研究人员发现，三年前IBM发布的补丁以其自己的Java实现中的关键漏洞是无效的，可以很容易地绕过漏洞再次利用缺陷。

Polish公司安全探索的研究人员发现了破碎的补丁，该探索发现漏洞并于2013年5月向IBM报告。IBM于2013年7月颁发了修复其Java开发套件的更新。

IBM维护其自己的Java虚拟机和运行时的实现。此版本的Java包含在其中一些公司的企业软件产品中，以及IBM Software Developer套件中，可用于AIX，Linux，Z / OS和IBM i等平台。

“安全探索首席执行官亚当·戈迪亚克的问题”问题的实际根本原因“，”安全探索首席执行官，在周一向全面披露邮件列表发送的消息中表示。“代码中的任何位置都没有安全检查。这些补丁完全依赖于隐藏代码中易受攻击的方法的想法，并且代理类的后面是足以解决这个问题的问题。“

这是第六次公司发现了来自IBM的无效补丁，了解安全探索所发现的一些Java问题，Gowdiak表示。他说，对于一个漏洞，IBM释放了两次破碎的贴片。

IBM在一份声明中表示，它意识到漏洞并正在努力解决它。

安全探索最近改变了其漏洞披露政策，并表示它将不再容忍漏洞的漏洞，以便它负责任地向供应商报告。该公司现在将公开披露如何绕过这些修复，而不会事先通知供应商。

这是公司上个月在发现Oracle于2013年发布的修补程序以其自身的Java运行时发布的修补程序也无效。安全探索“最近的公开披露，其中包括绕过补丁的概念证明代码，使得漏洞在最新版本的Java中再次被强迫oracle在3月23日发布紧急更新。

同样的事情现在正在使用IBM补丁。安全探索发布了一个详细的技术报告，解释了如何绕过公司的3岁的修复甚至发布的概念证明代码，以表明漏洞仍然可以在最新版本的IBM SDK Java技术版中被利用。

盖迪亚克说，破坏IBM补丁只需要“对[7月] 2013年发表的原始概念验证代码的几个小变化，”Gowdiak说。“我们验证了可以通过它实现完整的Java安全沙箱逃生。”