OpenJDK уязвим для 0-дневного эксплойта?
Мне было любопытно узнать, уязвим ли OpenJDK и для эксплойта Zero-Day, который в настоящее время поражает Java 7, из-за чего эксперты советуют людям отключать Java, пока решение не будет найдено во всех операционных системах.
2 ответа
обновление: см. Уведомление о безопасности Ubuntu USN-1693-1
Было обнаружено, что механизм безопасности OpenJDK 7 можно обойти через Java-апплеты. Если пользователь был обманут в открытии вредоносного веб-сайта, удаленный злоумышленник может использовать его для выполнения произвольного кода, когда пользователь вызывает программу.
Вероятно, не для конкретного эксплойта, который используется в дикой природе для плагина Oracle 7 Java. Эти эксплойты обычно специально созданы для работы с определенным набором программного обеспечения.
Тем не менее, OpenJDK может быть уязвим аналогичным образом , если это происходит из-за ошибки проектирования / архитектуры в работе Java в браузере. Я не смог найти какие-либо подробности (на момент написания), чтобы подтвердить это утверждение фактами, но предыдущие уязвимости были специально для Oracle JRE / JDK, в то время как у OpenJDK есть своя собственная.
Обратите внимание на разницу между эксплойтом и уязвимостью в этом контексте.
Также обратите внимание, что вы , вероятно, затронуты в некоторой степени, если вы используете Oracle JRE / JDK в Ubuntu. Тем не менее, эксплойты, вероятно, нацелены на хосты Windows, и JRE / JDK Oracle больше не распространяется Ubuntu из-за проблем с лицензированием (Oracle больше не разрешает перераспределение ).
Я бы не отнесся к этому легко. OpenJDK делится большей частью кода с Oracle Java. Большинство приложений, написанных на Java, работают в обеих реализациях. Естественно, вредоносная программа - это просто другое приложение. Если уязвимость распространена, вы можете получить сюрприз.
Теперь, может быть, будет сложнее взломать (я имею в виду root) Linux, чем Windows (и, вероятно, не стоит усилий по исследованию и попытке победить все возможные модели безопасности, исправления и т. Д. Вариантов Linux) - но они может работать в пользовательском пространстве, крадя данные или даже удаляя их или что-то еще. Если приложение успешно запущено даже с текущими правами пользователей, оно может получить доступ к любым данным, доступным пользователю для чтения. Я не думаю, что это сложно реализовать кросс-платформенный майнер данных. Я полагаю, что ваши пароли, хранящиеся в браузере (не говоря уже о других личных данных, таких как фотографии), могут порадовать некоторых русских бот-скотоводов.
Таким образом. Внимание. Это может произойти с вами независимо от используемой вами ОС. Самое простое решение - включить воспроизведение по клику (все основные браузеры поддерживают его) и не быть довольным кликом. Хотя плагины Java (не путайте его с Java-скриптом, это НЕ Java) не так широко распространены в настоящее время, лично я отключил плагин целую вечность и никогда не нуждался в нем.