English

SE-2012-01 Komunikacja z producentami

Ta strona prezentuje informacje dot. przebiegu komunikacji z producentami oprogramowania w których produktach Security Explorations wykryło błędy bezpieczeństwa.

Podsumowanie procesu komunikacji:

  • 02-Kwi-2012
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do Oracle (błędy 1-19).
  • 03-Kwi-2012
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że analizuje przesłane informacje o błędach.
  • 04-Kwi-2012
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do Oracle (błędy 20-21).
- Oracle potwierdza poprawne odszyfrowanie drugiego raportu.
  • 12-Kwi-2012
- Raport bezpieczeństwa zawierający informacje o błędzie wraz z programem testującym zostają wysłane do Apple (błąd 22).
  • 13-Kwi-2012
- Prośba o potwierdzenie poprawnego odszyfrowania otrzymanego raportu wysłana jest do Apple.
- Apple potwierdza poprawne odszyfrowanie otrzymanego raportu i prosi o dodatkowe informacje dot. błędu 22 oraz wpływu błędu 15.
- Security Explorations przesyła firmie Apple dodatkowe detale dot. zgłoszonego błędu 22 oraz ograniczone informacje o wpływie błędu 15 firmy Oracle.
  • 16-Kwi-2012
- Apple informuje, że trwa analiza raportu dot. błędu 22.
  • 17-Kwi-2012
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do Oracle (błędy 23-26).
  • 19-Kwi-2012
- Prośba o potwierdzenie poprawnego odszyfrowania trzeciego raportu wysłana jest do Oracle.
- Oracle potwierdza poprawne odszyfrowanie trzeciego raportu. Firma informuje, że nie prowadzi dystrybucji oprogramowania JDK dla systemu MacOS i zaleca kontakt z Apple w odniesieniu do błędów dot. tego systemu.
- Security Explorations pyta Oracle, czy błędy odkryte w implementacji kodu firmy Sun Microsystems i dot. systemu MacOS powinny być obsługiwane oraz poprawiane przez firmę Apple.
  • 23-Kwi-2012
- Oracle przesyła 11 numerów przypisanych do części ze zgłoszonych błędów. Firma informuje, że jej inżynierowie nadal oceniają niektóre słabości (włączając w to te dot. systemu MacOS) oraz że do czasu opracowania stosownych poprawek będzie raz w miesiącu dostarczać aktualizacje dot. status prac po swoje stronie.
  • 25-Apr-2012
- Oracle przesyła informacje o stanie prac i statusie dot. 12 zgłoszonych błędów. Firma informuje, że jest w trakcie ich analizy / opracowywania stosownych poprawek.
  • 27-Kwi-2012
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do Oracle (błędy 27-31).
- Oracle potwierdza poprawne odszyfrowanie czwartego raportu.
  • 24-Maj-2012
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do dwóch z nich zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostałe błędy są nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 04-Cze-2012
- Zapytanie dot. statusu prac / wyników analizy otrzymanej informacji wysłane jest do Apple.
  • 08-Cze-2012
- Oracle przesyła informacje, że dwa ze zgłoszonych błędów zostaną poprawione przez Critical Patch Update, jaki zostanie udostępniony przez firmę 12 czerwca 2012.
  • 11-Cze-2012
- Oracle informuje, że specyficzny dla systemu MacOS błąd 24 nie jest częścią oprogramowania Java SE wspieranego przez firmę, że błąd jest w pakiecie oprogramowania które nie jest już wspierane i które nie będzie aktualizowane. Firma przesyła szczegółowe informacje o zależnościach pomiędzy 29 błędami zgłoszonymi przez Security Explorations, a odpowiadającymi im 16 numerami nadanymi przez Oracle.
  • 15-Cze-2012
- Apple informuje, że dodatkowe zabezpieczenie wyłączające rozszerzenie Java dla oprogramowania QuickTime zostało dodane do aktualizacji Java dla OS X 2012-004 oraz Java dla Mac OS X 10.6 Update 9. Firma przesyła adres publikacji opisującej te aktualizacje (http://support.apple.com/kb/HT5319).
  • 18-Cze-2012
- Security Explorations pyta firmę Apple o powody braku informacji o poprawce dla rozszerzeń QuickTime for Java w publikacji HT5319 opisującej ostatnie aktualizacje bezpieczeństwa Java dla systemu MacOS. Security Explorations pyta się również o to, czy podobne podejście "cichej poprawki / bez podziękowań" będzie zastosowane przez firmę w przypadku aktualizacji oprogramowania Apple Quicktime dla systemu Windows.
- Specyficzny dla systemu MacOS błąd 24 zostaje przypisany Apple - raport bezpieczeństwa zawierający informacje o błędzie wraz z programem testującym zostają wysłane do firmy.
- Apple informuje, że błąd 22 miał inny charakter z uwagi na to, iż był zależny od błędu już poprawionego i uznanego przez firmę Oracle. Firma informuje rownież, że zwykle nie dziękuje badaczom bezpieczeństwa w sytuacjach kiedy dodatkowe mechanizmy bezpieczeństwa są wprowadzane do systemu, jak to miało miejsce w przypadku błędu 22.
- Apple potwierdza poprawne odszyfrowanie otrzymanego raportu.
  • 19-Cze-2012
- Security Explorations przesyła Apple swoją argumentację w odpowiedzi na kontrowersyjną ocenę błędu 22. Security Explorations zadaje pytanie firmie Apple, czy błąd 22 jest traktowany przez firmę jako błąd bezpieczeństwa w jej kodzie.
  • 21-Cze-2012
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że cztery z nich zostały poprawione w ramach Java CPU z czerwca 2012. Pozostałe błędy są nadal przedmiotem analizy / opracowywania stosownych poprawek.
- Security Explorations informuje firmę Oracle o otrzymaniu niedokładnej informacji w odniesieniu do liczby błędów poprawionych przez firmę. Oracle jest również poinformowany o braku numeru dla błędu 25 oraz o przypisaniu błędu 24 do Apple.
  • 22-Cze-2012
- Apple potwierdza swoje stanowisko - firma informuje, że traktuje błedy, które same w sobie nie prowadzą do przełamania bezpieczeństwa jako mechanizmy zwiększające bezpieczeństwo.
  • 26-Cze-2012
- Oracle przesyła numer przypisany błędowi 25 oraz wyjaśnienie w odniesieniu do liczby błędów poprawionych przez firmę.
  • 24-Lip-2012
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że pozostałe niepoprawione błędy są nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 27-Lip-2012
- Security Explorations pyta Oracle, czy pozostałe 25 błędów zostanie poprawionych przez Java SE CPU w pażdzierniku 2012.
- Oracle informuje, że pracuje nad poprawkami do błedów i że część z nich będzie poprawiona przez Java SE CPU w pażdzierniku 2012, a pozostałe błędy zostaną poprawione w lutym 2013.
  • 23-Sie-2012
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 19 z nich zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostałe 6 błędów jest nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 31-Sie-2012
- Raport bezpieczeństwa zawierający informacje o błędzie wraz z programem testującym zostają wysłane do Oracle (błąd 32).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma przesyła numer przypisany dla niepotwierdzonej słabości. Oracle informuje, że przeprowadzi dochodzenie zgłoszonego błędu w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
  • 10-Wrz-2012
- Zapytania o kontakt do zespołu bezpieczeństwa zostają wysłane do IBM.
- Oracle potwierdza błąd 32. Firma informuje, że stosowna poprawka zostanie udostępniona w ramach kolejnego Java SE Critical Patch Update.
  • 11-Wrz-2012
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do IBM (błędy 33-49).
- IBM potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że zgłoszone błędy zostały przesłane do odpowiedniego zespołu opracowującego produkty celem ich analizy.
  • 17-Wrz-2012
- Dodatkowy program testujący dla błędu 32 zostaje wysłany do Oracle.
  • 19-Wrz-2012
- Oracle potwierdza otrzymanie i poprawne odszyfrowanie dodatkowego programu testującego.
  • 20-Wrz-2012
- IBM przesyła informacje o stanie prac dot. zgłoszonych błędów. Firma informuje, że odpowiednie zespoły programistów pracują nad poprawkami do błędów. IBM podaje rownież wstępny harmonogram zwiazany z gotowością i udostępnieniem poprawionych wersji oprogramowania SDK (Lis 2012).
  • 24-Wrz-2012
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do 18 z nich zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostałe 2 błędy są nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 25-Wrz-2012
- Raport bezpieczeństwa zawierający informacje o błędzie wraz z programem testującym zostają wysłane do Oracle (błąd 50).
- Oracle potwierdza błąd 50. Firma przesyła przypisany mu numer i informuje, że stosowna poprawka zostanie udostępniona w ramach kolejnego Java SE Critical Patch Update.
  • 26-Wrz-2012
- Oracle przesyła szczegółowy raport o stanie prac nad poprawkami w nawiązaniu do zbliżającego się terminu Java CPU. Firma informuje, że poprawki do wszystkich z wyjątkiem dwóch błędów (29 i 50) zostały opracowane i są aktualnie poddawane testom w celu ich udostępnienia w ramach październikowego Java CPU. Firma poddaje również ocenie poprawki do błędu 50 i dostarczy dalsze informacje na temat jego ewentualnego włączenia do październikowego Java CPU.
  • 27-Wrz-2012
- IBM informuje, że jego inżynierowie potwierdzili każdą ze zgłoszonych słabości (błędy 33-49) i że dla większości z nich opracowywane, bądź testowane są już stosowne poprawki.
  • 10-Paź-2012
- Oracle informuje, że firma planuje udostępnić poprawkę do błędu 50 w ramach Java SE CPU w lutym 2013.
  • 12-Paź-2012
- Oracle przesyła raport o stanie prac nad poprawkami. Firma informuje, że 19 błędów będzie poprawionych w ramach Java SE Critical Patch Update, który zostanie udostępniony 16 pażdziernika 2012.
  • 15-Paź-2012
- Security Explorations pyta Oracle o powody decyzji firmy dot. konieczności oczekiwania na poprawkę do krytycznego błędu bezpieczeństwa (numer 50) w oprogramowaniu Java do lutego 2013.
  • 16-Paź-2012
- Oracle odpowiada, że firma otrzymala informacje o błędzie 50 kiedy przeprowadzane były intensywne testy poprawek udostępnianych w pażdzierniku. W wyniku oceny błędu 50 i możliwych opcji jego poprawienia, firma uznała, że jest zbyt póżno aby włączyć jego poprawkę do październikowego Java SE CPU. Oracle potwierdza, że poprawka do błędu 50 zostaną udostępnione w ramach następnego cyklu poprawek, który będzie miał miejsce w lutym 2013.
- Security Explorations wyjaśnia, że pytanie dotyczyło czegoś innego, powodów którymi kieruje się Oracle decydując się na udostępnienie kolejnej aktualizacji w ramach swojego semi-kwartalnego cyklu, co oznacza konieczność oczekiwania na poprawkę do krytycznego błędu bezpieczeństwa w Javie przez dodatkowe cztery miesiące.
  • 18-Paź-2012
- Oracle odpowiada, że firma adresuje błędy bezpieczeństwa za pośrednictwem Critical Patch Updates i Security Alerts. Te ostatnie mogą być udostępnione w nagłych przypadkach, takich jak publikacja informacji o błędzie. Oracle wyjaśnia, że jego CPU poddawane są intensywnym testom integracyjnym z innymi produktami. Jakiekolwiek opóźnienie w udostępnieniu październikowego Java SE CPU oznaczałoby późniejsze dostarczenie 139 poprawek do aplikacji integrujących Java SE. Oracle zadaje pytanie, czy błąd 50 zostanie ujawniony na konferencji Devoxx.
- Security Explorations informuje Oracle, że nie nastąpiła żadna zmiana planów i że błąd 50 nie bedzie omawiany na konferencji Devoxx jeśli nie zostanie poprawiony do czasu konferencji.
  • 19-Paź-2012
- Security Explorations poddaje firmę Oracle wyzwaniu i dostarcza jej rezultaty swojego eksperymentu dot. opracowania poprawki do błędu. Eksperyment prowadzi do wniosku, że poprawka do błędu 50 może być opracowana w ciągu pół godziny, że wymagana jest jedynie zmiana 25 znaków w kodzie źródłowym w celu jej implementacji oraz że testy integracyjne z innymi aplikacjami nie są wymagane dla tej poprawki.
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu dot. przeprowadzonego eksperymentu. Firma informuje, że prześle odpowiedź tak szybko jak to będzie tylko możliwe.
  • 23-Paź-2012
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma potwierdza słabości poprawione przez Java SE CPU z października oraz informuje, że pozostałe 2 błędy są przedmiotem analizy / opracowywania stosownych poprawek.
  • 31-Paź-2012
- IBM przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że opracowała i przetestowała poprawki do wszystkich otrzymanych błędów oraz że poprawione wersje oprogramowania IBM SDK powinny być dostępne do pobrania w listopadzie.
  • 14-Lis-2012
- IBM przesyła informacje o adresie bloga opisującego poprawki do błędów udostępnionych dla podatnego oprogramowania.
  • 27-Lis-2012
- Oracle przesyła informacje o stanie prac i statusie dot. błędów 29 i 50. Firma informuje, że jest w trakcie ich analizy / opracowywania stosownych poprawek.
  • 17-Gru-2012
- Oracle przesyła informacje o stanie prac i statusie dot. błędów 29 i 50. Firma informuje, że zostały do nich opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU.
  • 18-Sty-2013
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programem testującym zostają wysłane do Oracle (błędy 51 i 52).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonych błędów w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
- Oracle przesyła numery przypisane do zgłoszonych błędów 51 i 52.
  • 25-Sty-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do błędów 29, 50 i 52 zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Pozostały błąd 51 jest nadal przedmiotem analizy / opracowywania stosownej poprawki.
  • 27-Sty-2013
- Raport bezpieczeństwa zawierający informacje o błędzie wraz z programem testującym zostają wysłane do Oracle (błąd 53).
  • 28-Sty-2013
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonego błędu w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
- Oracle przesyła numer przypisany do zgłoszonego błędu 53.
  • 01-Lut-2013
- Oracle przesyła raport o stanie prac nad poprawkami w nawiązaniu do planowanej publikacji Java CPU. Firma informuje, że poprawki do błędów 29, 50, 52 i 53 zostaną udostępnione w ramach aktualizacji CPU, która zostanie opublikowana 1 lutego 2013.
  • 25-Lut-2013
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programem testującym zostają wysłane do Oracle (błędy 54 i 55).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonych błędów w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że błąd 51 jest nadal przedmiotem analizy / opracowywania stosownej poprawki. Raport nie zawiera jeszcze informacji o błedach 54 i 55.
- Oracle przesyła numery przypisane do zgłoszonych błędów 54 i 55, ale twierdzi, że nie zostały one jeszcze potwierdzone.
  • 27-Lut-2013
- Security Explorations pyta Oracle, czy firma potrzebuje pomocy przy uruchomieniu otrzymanego kodu ilustrującego oraz czy potwierdzenie zgłoszonych błędów przez trzecią stronę taką jak US-CERT byłoby dla firmy pomocne. Security Explorations informuje Oracle, że oczekuje jasnego potwierdzenia, bądź odrzucenia informacji dot. błędów 54 i 55 (w przeszłości, otrzymanie numerów przypisanych przez Oracle do zgłoszonych błędów było równoznaczne z ich potwierdzeniem).
- Oracle przesyła wyniki swojej analizy i informuje, że błąd 54 nie jest traktowany jako słabość (demonstruje "dozwoloną funkcjonalność"). Firma potwierdza błąd 55.
- Security Explorations nie zgadza się z analizą Oracle w odniesieniu do błędu 54 i przesyła firmie swoje argumenty. Security Explorations demonstruje firmie Oracle przykład w którym identyczna "dozwolona funkcjonalność" prowadzi do zabronionego dostępu i wyjątku bezpieczeństwa.
  • 28-Lut-2013
- Security Explorations przesyła firmie Oracle dodatkowy przykład ilustrujący zabroniony dostęp dla warunków zbliżonych do błędu 54. Security Explorations pyta Oracle, czy firma nadal traktuje błąd 54 nie jako słabość, a demonstrację "dozwolonej funkcjonalności".
- Oracle odpowiada, że firma jest w trakcie analizy błędu i że prześle odpowiedź po jej zakończeniu.
  • 04-Mar-2013
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programem testującym zostają wysłane do Oracle (błędy 56-60).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonych błędów w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
- Oracle przesyła numery przypisane do zgłoszonych błędów 56-60, twierdzi, że nie zostały one jeszcze potwierdzone.
  • 05-Mar-2013
- Oracle informuje, że firma nadal prowadzi analizę argumentów Security Explorations w odniesieniu do błędu 54. Firma zakreśla tło tej analizy (referencje do specyfikacji JVM) oraz sugeruje przeprowadzenie dyskusji technicznej z przedstawicielami zespolów maszyny wirtualnej i bezpieczeństwa.
  • 11-Mar-2013
- Security Explorations pyta Oracle o ostateczna ocenę błędu 54.
- Oracle informuje, że firma nadal prowadzi ocenę błędu 54 oraz że prześle rezultaty swojej analizy po jej zakończeniu.
  • 26-Mar-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do błędów 55, 57 i 59 zostały opracowane stosowne poprawki, które zostaną udostępnione w ramach kolejnego CPU. Błędy 51, 54, 56, 58 oraz 60 są nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 05-Kwi-2013
- Oracle potwierdza błędy 57-60. Firma informuje, że stosowne poprawki zostaną udostępnione w ramach kolejnego Java SE Critical Patch Update.
  • 09-Kwi-2013
- Security Explorations pyta Oracle, czy potwierdzenie jedynie 4 z 5 błędów zgłoszonych 04-Mar-2013 jest równoznaczne z tym, że błąd 56 nie jest traktowany przez firmę jako słabość bezpieczeństwa ("dozwolone zachowanie", itp.).
  • 10-Kwi-2013
- Oracle informuje, że firma nadal prowadzi ocenę błędu 56 oraz że prześle rezultaty swojej analizy po jej zakończeniu.
  • 12-Kwi-2013
- Oracle przesyła raport o stanie prac nad poprawkami w nawiązaniu do planowanej publikacji Java CPU. Firma informuje, że poprawki do błędów 51, 55, 57, 58, 59 i 60 zostaną udostępnione w ramach aktualizacji CPU, która zostanie opublikowana 16 kwietnia 2013.
  • 16-Kwi-2013
- Oracle przesyła wyniki analizy błędu 56. Analiza firmy wspiera ocenę, że błąd 56 demonstruje zachowanie, które nie narusza specyfikacji maszyny wirtualnej Java.
  • 22-Kwi-2013
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programem testującym zostają wysłane do Oracle (błąd 61).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że przeprowadzi dochodzenie zgłoszonego błędu w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
- Oracle przesyła numer przypisany do zgłoszonego błędu 61.
  • 23-Kwi-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że pięć z nich zostało poprawionych w ramach Java CPU z kwietnia 2013. Pozostałe błędy (54, 56 i 61) są nadal przedmiotem analizy / opracowywania stosownych poprawek.
  • 24-Kwi-2013
- Oracle potwierdza błąd 61. Firma informuje, że stosowna poprawka zostanie udostępniona w ramach kolejnego Java SE Critical Patch Update.
  • 26-Kwi-2013
- Oracle informuje, że firma planuje zamknąć sprawę błędu 56 do 10 maja 2013.
  • 06-Maj-2013
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do IBM (błędy 62-68).
- IBM potwierdza otrzymanie raportu. Firma informuje, że zgłoszone błędy zostaną poddane analizie. Dodatkowo, IBM informuje, że "przesyłając materiał do firmy, Security Explorations dało IBM, jego podmiotom zależnym, bądź afiliowanym licencję do nieodpłatnego wykorzystania własności intelektualnej związanej z użyciem otrzymanego materiału".
  • 07-Maj-2013
- Security Explorations informuje IBM, że materiał został zgłoszony firmie nieodpłatnie, jednakże nie może być współdzielony z innymi podmiotami poza IBM. Security Explorations pyta IBM, czy firmie brakuje odpowiednio wykwalifikowanej kadry wśród 400+ tysięcy pracowników w celu opracowania stosownych poprawek do zgłoszonych błędów.
- IBM informuje, że jego pracownicy pracują nad zgłoszonymi błędami. Firma prześle zaktualizowane informacje o stanie prac w nawiązaniu do ich postępu.
  • 21-Maj-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do błędu 61 została opracowana stosowna poprawka, która zostanie udostępniona w ramach kolejnego CPU. Błąd 54 jest nadal przedmiotem analizy / opracowywania stosownej poprawki. Błąd 56 został zamkniety przez firmę ("zgłoszenie nie będące błędem").
  • 24-Maj-2013
- IBM przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że potwierdziła błędy 62-68 oraz niekompletne poprawki do błędów 35, 36, 37 i 49. Firma informuje, że do wszystkich wskazanych błędów opracowane zostały stosowne poprawki, które są obecnie poddawane testom jakościowym.
  • 12-Cze-2013
- Prośba o przesłanie informacji o numerach CVE odpowiadających błędom zgłoszonym przez Security Explorations w ramach projektu SE-2012-01 jest wysłana do Oracle.
  • 17-Cze-2013
- Oracle przesyła wynik analizy zespołu inżynierów firmy dot. błędu 54. Firma informuje, że slabość ta zostanie zamknięta jako zgłoszenie nie będące błędem.
  • 19-Cze-2013
- Oracle przesyła informacje o numerach CVE odpowiadających błędom zgłoszonym przez Security Explorations w ramach projektu SE-2012-01.
  • 24-Cze-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że błąd 54 został zamknięty (nie jest traktowany jako słabość bezpieczeństwa), a błąd 61 został poprawiony w ramach Java SE CPU z czerwca 2013.
  • 03-Lip-2013
- IBM przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że najnowsza udostępniona wersja oprogramowania IBM Java dla systemu Linux poprawia błędy 62-68 oraz niekompletne poprawki do błędów 35, 36, 37 i 49.
  • 18-Lip-2013
- Raport bezpieczeństwa zawierający informacje o błędzie wraz z programem testującym zostają wysłane do Oracle (błąd 69).
- Oracle potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma przesyła numer przypisany do zgłoszonego błędu 69 oraz informuje, że przeprowadzi jego dochodzenie w oparciu o dostarczone materiały i poinformuje wkrótce o otrzymanych rezultatach.
  • 24-Lip-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do błędu 69 została opracowana stosowna poprawka, która zostanie udostępniona w ramach kolejnego CPU.
  • 26-Lip-2013
- Oracle potwierdza błąd 69. Firma informuje, że zostanie on poprawiony w ramach implementacji wstecznej (z JDK 8) podatnego komponentu dla JDK 7 Update 40, który planowo ma być udostępniony we wrześniu 2013.
  • 29-Lip-2013
- Security Explorations pyta IBM o lokalizację / referencje do biuletynów bezpieczeństwa opublikowanych przez firmę w odpowiedzi na udostępnienie poprawek do błędów 62-68 oraz niekompletnych łat do błędów 35, 36, 37 i 49.
  • 31-Lip-2013
- IBM przesyła lokalizację biuletynu bezpieczeństwa opisującego udostępnione poprawki do podatnej wersji oprogramowania Java.
  • 23-Sie-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do błędu 69 została opracowana stosowna poprawka, która zostanie udostępniona w ramach kolejnego CPU.
  • 24-Wrz-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że do błędu 69 została opracowana stosowna poprawka, która zostanie udostępniona w ramach kolejnego CPU.
  • 11-Paź-2013
- Oracle przesyła raport o stanie prac nad poprawkami w nawiązaniu do planowanej publikacji Java CPU. Firma informuje, że poprawka do błędu 69 zostanie udostępniona w ramach aktualizacji CPU, która zostanie opublikowana 15 października 2013.
  • 16-Paź-2013
- Raport bezpieczeństwa zawierający informacje o błędach wraz z programami testującymi zostają wysłane do IBM (błędy 70-71).
- IBM potwierdza poprawne odszyfrowanie otrzymanego raportu. Firma informuje, że dokona analizy zgłoszonych błędów i przesyła wewnętrzny numer PSIRT Advisory nadany zgłoszeniu.
  • 18-Paź-2013
- IBM informuje, że w wyniku przeprowadzonych testów otrzymanych kodów względem aktualizacji oprogramowania, która zostanie niedługo udostępniona (4 kwartał), firma odkryła, że błędy 49, 70 i 71 zostały poprawione.
- Security Explorations prosi IBM o potwierdzenie podatności na zgłoszone błędy ostatniej wersji oprogramowania IBM SDK jaka została udostępniona szerokiej publiczności (wersja 7 SR5).
  • 21-Paź-2013
- IBM potwierdza istnienie błędów 49, 70 i 71 w ostatniej wersji oprogramowania IBM SDK jaka została udostępniona szerokiej publiczności (wersja 7 SR5).
  • 24-Paź-2013
- Oracle przesyła informacje o stanie prac i statusie dot. zgłoszonych błędów. Firma informuje, że błąd 69 został poprawiony w ramach Java SE CPU z października 2013.
  • 07-Lis-2013
- IBM informuje o udostępnieniu najnowszej wersji swojego oprogramowania Java (IBM SDK Version 7 SR6). Firma przesyła informację o lokalizacji biuletynu bezpieczeństwa opisującego stosowne poprawki.
  • 30-Paź-2015
- Security Explorations prosi IBM o przesłanie informacji o numerach CVE odpowiadających błędom zgłoszonym w ramach projektu SE-2012-01 (błędy 33-49, 62-68, 70-71 oraz nieprawidłowo poprawione słabości 35, 36, 37 i 49).
- Security Explorations prosi Oracle o przesłanie informacji o numerze CVE odpowiadającym błędowi 69.
- IBM przesyła numery CVE dla błędów 33-49, 62-68 oraz nieprawidłowo poprawionych słabości 35, 36, 37 i 49.
- Oracle informuje, że firma zbierze wymagane informacje i się wtedy odezwie.
  • 31-Paź-2015
- Security Explorations informuje IBM, że nie otrzymało numerów CVE dla błędów 70-71. Firma prosi IBM o dostarczenie brakujących identyfikatorów.
  • 02-Lis-2015
- IBM przesyła numery CVE dla błędów 70 i 71.
- Oracle przesyła numer CVE dla błędu 69.
  • 24-Mar-2016
- Oracle przesyła informacje o stanie prac i statusie dot. nieprawidłowo poprawionego błędu 69. Firma informuje, że został on poprawiony przez Security Alert dla CVE-2016-0636 z dnia 23 marca 2016.

Copyright 2008-2017 Security Explorations. All Rights Reserved.