Perché le vulnerabilità Java (JRE) hanno raggiunto il picco nel 2012-2013?

Naviga le tue risposte
27

Ho preso un grafico della quantità di rapporti CVE relativi al JRE per anno.

Ora come puoi vedere questo spillo nel 2012-2013, che avrebbe potuto essere indovinato facilmente, se guardi la quantità di notizie riguardanti java negli anni passati. Tuttavia, ho difficoltà a trovare una spiegazione del perché:

  • Java è diventato più popolare?
  • Java è diventato più popolare per gli hacker?
  • È dovuto all'acquisizione di Oracle?
posta Glenn Vandamme 07.04.2014 - 16:01
fonte

3 risposte

27

Penso che questo sia un "effetto tendenza", che è anche il motore di tutto ciò che riguarda la moda (nel senso dell'abbigliamento). Si prega di consentire al francese locale di parlare di moda.

La moda è un comportamento sociale profondamente contraddittorio. Le persone che seguono le mode cercano entrambi:

  • per ottenere l'accettazione in un dato gruppo locale visualizzando l'aderenza ai codici concordati percepiti (ad esempio le scelte arbitrarie di forme, trame e colori del tessuto);
  • per ottenere visibilità all'interno dello stesso gruppo visualizzando un grassetto (implicitamente: più audace rispetto agli altri membri del gruppo) per incorporare i codici social più recenti o anche futuri per quel gruppo.

In effetti, la vittima della moda deve essere al contempo un leader e un seguace. Se il contesto fosse elettronico, potremmo dire che osserviamo un circuito con feedback positivo, che deve necessariamente mostrare forti transizioni tra configurazioni localmente stabili. Un ulteriore effetto è che, nella moda dell'abbigliamento, l'unico effetto universale è il rapido deprezzamento: nessuna moda può rimanere attiva per più di qualche mese. In poche parole, la moda è veloce, e quando si inclina in un modo sempre leggermente, tutti corrono in quella direzione. Questo spiega come le mode vanno e vengono con una violenza violenta.

Gli hacker sono la versione geek delle vittime della moda. Il loro interesse e i loro sforzi sono sempre guidati da quelle che sembrano essere "argomenti scottanti". Le persone che trascorrono le loro giornate e le loro notti alle tastiere sono spesso molto sensibili all'esclusione sociale (dato che ottengono in media poca società) e quindi aborriscono l'idea di concentrarsi su una tecnologia "è stata" che li priverebbe degli ultimi brandelli del riconoscimento dei pari per cui possono sperare. Pertanto, quando un argomento sembra promettere gloria, tutti corrono verso di esso. "Gloria" può essere equiparato a "slashdottable".

Nel caso specifico di sicurezza e Java, il trigger potrebbe essere stato, in effetti, l'acquisizione di Sun da parte di Oracle. Oracle è un noto "cattivo ragazzo" quindi c'è sempre una certa fama nel trovare buchi di sicurezza nei prodotti Oracle (i computer hanno sempre avuto un debole per il nichilismo). Inoltre, il modello di sicurezza di Java (il modello di applet) appare maturo con potenziali vulnerabilità: nel modello di applet Java, il "perimetro di sicurezza", che è il confine tra il mondo ostile (il codice dell'applet stesso) e il mondo protetto (il sistema host) passa attraverso l'API della libreria standard: centinaia di classi di sistema devono controllare e applicare il complesso sistema di permessi. La superficie di attacco è enorme . Ci devono essere dei buchi ogni tanto. Le persone di Sun erano abbastanza brave in quello che facevano, ma rendere il modello di applet sicuro avrebbe assunto poteri di sviluppo divini.

Non appena furono scoperti e resi pubblici alcuni bug, l'idea di ricchezze non reclamate della reputazione passò attraverso le menti degli hacker collettivi come un incendio nella savana, e tutti si precipitarono. Tale è il potere di Bonanza . Una volta che i cervelli sono in fiamme con la promessa di ricchezza (in questo caso, i follower di Twitter o i punteggi di Slashdot), non c'è modo di fermarli.

Finirà presto, però. "I bug Java sono così bizzarri 2013!"

    
risposta data 07.04.2014 - 17:04
fonte
6

Eccellente infografica! A meno che qualcuno non si sia effettivamente seduto a leggere e leggere i vari CVE e capirli dentro e fuori, sarebbe difficile fornire una risposta sostanziale. Detto questo, sono disposto a congetturare selvaggiamente qui.

  1. Browser crawly - con tre browser di flusso principale (IE, Firefox e Chrome) i plug-in devono essere sviluppati per un insieme più ampio di ambienti generali. Diversi browser avranno diversi hook per l'ambiente attuale del browser, quindi seguirà che ci saranno varie sviste nell'integrazione con un ambiente così vario (non dimenticare anche gli smartphone!)

  2. Android - Mai prima d'ora Java è stato usato così ampiamente come lo è oggi, in gran parte dovuto ad Android. Con più sviluppatori che martellano la piattaforma (non la piattaforma Android, ma la piattaforma principale di Java), è naturale che vengano rilevati più bug e dal momento che il mondo degli sviluppatori diventa più consapevole della sicurezza, è naturale che questi bug vengano segnalati e divulgati .

  3. (allerta cappello-lamina!) Conspiracy - il suo possibile Oracle sta cercando di uccidere Java (come Adobe ha ucciso Flash). I motivi di questo mi sfuggono perché il mio sombrero cospirativo non è abbastanza grande da concepire o inventare cose fantastiche, ma non escludo la possibilità.

Questa è la portata della mia congettura selvaggia.

Saluti,

-C

    
risposta data 07.04.2014 - 16:42
fonte
0

Il jre 7 ha aggiunto molte nuove funzionalità e molti bug. Nel gennaio 2014 gli aggiornamenti di jre 7 rendevano radicalmente più difficile eseguire le applet.

    
risposta data 09.04.2014 - 17:17
fonte

Leggi altre domande sui tag

È buona norma mostrare all'utente l'errore di accesso non autorizzato 403? I token di reimpostazione della password devono essere sottoposti a hash quando sono archiviati in un database?