Реальная уязвимость JAVA

О уязвимости (или неуязвимости) JAVA в интернете ходят разные мнения – от того, что механизмы безопасности, испольузуемые в JAVA, беспрецендентны по своей мощности и результативности, до полного скепсиса.
Но достаточно посмотреть пару ссылок:

http://www.securitylab.ru/vulnerability/462753.php
http://internetno.net/category.....mnenie/java-malware/
http://business.kaspersky.ru/u.....ut-mnozhit-sya/1280/

как становится ясно, что для скепсиса оснований более чем достаточно, и с этим придется смириться. Также придется усомнится в том, что "своеременные обновления" решают проблему.

Итак, остается вопрос: каким образом эти уязвимости могут быть вызваны и активированы?

Конкретный случай: использую мессенжер Jitsi, который базируется на JAVA.
Каким эта JAVA может быть взломана, заражена, скомпроментирована и т.д.?
Ведь взломы JAVA, если правильно понял, осуществляются только через эксплоиты?
Ну а если я нахожусь за файрволом, пропускающим только часть самых нужных для работы портов, и не использую бразуер, то получается, что в такой конфигурации взлом JAVA в принципе невозможен?
Или я ошибаюсь?

На страницу: 1, 2 След.

Комментарии

—	*Гость* (03/01/2015 15:43) <#>

Большинство уязвимостей, описанных в ссылках требуют запустить апплет я так понял

>This vulnerability can be exploited through sandboxed Java Web Start applications and sandboxed Java applets.

Умудриться в восьмой Java запустить левый апплет это еще нужно постараться, так как она очень параноидальная стала.
И они все пропатчены, значит Oracle беспокоится о безопасности :)
<quote>Конкретный случай: использую мессенжер Jitsi, который базируется на JAVA.
Каким эта JAVA может быть взломана, заражена, скомпроментирована и т.д.?</quote>
Тут нужно фантастическое стечение обстоятельств и кто такое сумеет просто не будет на случайных людей время тратить скорее всего.

—	*Гость* (03/01/2015 17:53) <#>

Вообще-то Jitsi использует не общую JAVA, установленную в систему, а тащит с собой некое урезанное подмножество библиотек JAVA.
Не знаю, лучше это или хуже.

—	*Гость* (03/01/2015 21:40) <#>

> Умудриться в восьмой Java запустить левый апплет это еще нужно постараться, так как она очень параноидальная стала.

> И они все пропатчены, значит Oracle беспокоится о безопасности :)

Конечно, это не может не радовать :)
Но ведь множественные уязвимости, перечисленные здесь, относятся также и к 8-й?
http://www.securitylab.ru/vulnerability/462753.php
Похоже, вы знаете больше о JAVA, чем среднестатистический криптограф, просветите нас, пожалуйста о ее стойкости подробнее :)

—	*Гость* (04/01/2015 10:01) <#>

> "недоверяемый" – в смысле со свойствами безопасности, которые нельзя проверить? т.е. которому доверять нет оснований, хотя и обратного тоже нет

Парочка примеров:

Сервер похакали, установили на него звловред. Потом через сервер покахают и его клиентов, если в клиентах есть уязвимость.
К хостеру или владельцу сервака пришли и попросили люди, которым нельзя отказать. В итоге тот же зловред что и в п.1., сценарий тот же.

Собственно, поэтому принято считать, что сервер должен быть всегда потенциально недоверенным.

—	*Гость* (04/01/2015 10:04) <#>

P.S. У меня есть собственный сервак, стоит в помещении не у хостера. Дедик. И я ему не могу доверять на 100%, потому что у меня нет гарантий его физической безопасности. Может быть, пока я пишу эти строки, туда уже пришли чёрные человечики и обложили его множеством датчиков.

На страницу: 1, 2 След.

Ваша оценка документа [показать результаты]