é OpenJDK Vulnerable to 0-Day Exploit?

Navegue suas respostas
6

Eu estava curioso para saber se o OpenJDK também é vulnerável ao Zero-Day Exploit que atualmente afeta o Java 7, pois especialistas estão dizendo às pessoas para desabilitar o Java até que uma solução seja encontrada em todos os sistemas operacionais.

    
por ya'AxchéBalam 12.01.2013 / 03:01

2 respostas

8

update: veja Aviso de segurança do Ubuntu USN-1693-1

  

Descobriu-se que o mecanismo de segurança do OpenJDK 7 podia ser contornado via   Applets Java. Se um usuário foi levado a abrir um site malicioso, um   atacante remoto poderia explorar isso para executar a execução de código arbitrário como   o usuário invocando o programa.

Provavelmente não para o exploit específico que está sendo usado no mundo real para o plugin Java 7 da Oracle. Essas explorações são normalmente especificamente criadas para serem executadas com um conjunto específico de software.

No entanto, o OpenJDK pode ser vulnerável de uma maneira similar , se for devido a um erro de design / arquitetura na maneira como o Java funciona em um navegador. Não consegui encontrar nenhum detalhe (no momento em que escrevo) para apoiar essa afirmação com fatos, mas as vulnerabilidades anteriores eram especificamente para o JRE / JDK da Oracle, enquanto o OpenJDK tinha o seu próprio.

Por favor, note a diferença entre uma exploração e uma vulnerabilidade neste contexto.

Note também que você é provavelmente afetado até certo ponto se você estiver executando o JRE / JDK do Oracle no Ubuntu. No entanto, as explorações provavelmente são direcionadas para hosts Windows, e o JRE / JDK da Oracle não é mais distribuído pelo Ubuntu, devido a problemas de licenciamento (Oracle não permite mais redistribuição ).

    
por gertvdijk 12.01.2013 / 03:25
1

Eu não tomaria isso de ânimo leve. O OpenJDK compartilha a maioria dos códigos com o Oracle Java. A maioria dos aplicativos escritos em Java funciona em ambas as implementações. Naturalmente, o malware é apenas outro aplicativo. Se a vulnerabilidade é comum, você pode ter uma surpresa.

Agora, pode ser mais complicado abrir o Linux do que o Windows (e provavelmente não vale a pena pesquisar e tentar derrotar todos os modelos de segurança, patches e variantes do Linux possíveis), mas eles pode trabalhar no espaço do usuário roubando dados ou até mesmo excluí-los ou algo assim. Se o aplicativo for iniciado com êxito, mesmo com os direitos dos usuários atuais, ele poderá acessar todos os dados disponíveis para o usuário para leitura. Eu não acho que é tão complicado para implementar um minerador de dados de plataforma cruzada. Eu suponho que suas senhas armazenadas no navegador (para não falar sobre outros dados pessoais como fotos) podem fazer com que alguns pastores de bot russos fiquem felizes.

Cuidado. Isso pode acontecer com você, independentemente do sistema operacional que você usa. A solução mais simples é ativar o recurso "clicar para reproduzir" (todos os principais navegadores oferecem suporte a ele) e não gostar do clique. Embora os plugins Java (não confundam isso com script Java, que NÃO é Java) sejam tão difundidos hoje em dia, eu pessoalmente tenho o plug-in desativado por muito tempo e nunca precisei dele.

    
por user130364 12.02.2013 / 01:59

Tags

Como adicionar o tipo MIME para o servidor web Apache? Aplicar recursivamente o comando msgfmt a todos os arquivos .po no diretório com find -exec