Реальная уязвимость JAVA
О уязвимости (или неуязвимости) JAVA в интернете ходят разные мнения – от того, что механизмы безопасности, испольузуемые в JAVA, беспрецендентны по своей мощности и результативности, до полного скепсиса.
Но достаточно посмотреть пару ссылок:
http://www.securitylab.ru/vulnerability/462753.php
http://internetno.net/category.....mnenie/java-malware/
http://business.kaspersky.ru/u.....ut-mnozhit-sya/1280/
как становится ясно, что для скепсиса оснований более чем достаточно, и с этим придется смириться. Также придется усомнится в том, что "своеременные обновления" решают проблему.
Итак, остается вопрос: каким образом эти уязвимости могут быть вызваны и активированы?
Конкретный случай: использую мессенжер Jitsi, который базируется на JAVA.
Каким эта JAVA может быть взломана, заражена, скомпроментирована и т.д.?
Ведь взломы JAVA, если правильно понял, осуществляются только через эксплоиты?
Ну а если я нахожусь за файрволом, пропускающим только часть самых нужных для работы портов, и не использую бразуер, то получается, что в такой конфигурации взлом JAVA в принципе невозможен?
Или я ошибаюсь?
Умудриться в восьмой Java запустить левый апплет это еще нужно постараться, так как она очень параноидальная стала.
И они все пропатчены, значит Oracle беспокоится о безопасности :)
<quote>Конкретный случай: использую мессенжер Jitsi, который базируется на JAVA.
Каким эта JAVA может быть взломана, заражена, скомпроментирована и т.д.?</quote>
Тут нужно фантастическое стечение обстоятельств и кто такое сумеет просто не будет на случайных людей время тратить скорее всего.
Не знаю, лучше это или хуже.
Конечно, это не может не радовать :)
Но ведь множественные уязвимости, перечисленные здесь, относятся также и к 8-й?
http://www.securitylab.ru/vulnerability/462753.php
Похоже, вы знаете больше о JAVA, чем среднестатистический криптограф, просветите нас, пожалуйста о ее стойкости подробнее :)
Парочка примеров:
- Сервер похакали, установили на него звловред. Потом через сервер покахают и его клиентов, если в клиентах есть уязвимость.
- К хостеру или владельцу сервака пришли и попросили люди, которым нельзя отказать. В итоге тот же зловред что и в п.1., сценарий тот же.
Собственно, поэтому принято считать, что сервер должен быть всегда потенциально недоверенным.