C'è un nuovo Java rilasciato un paio di giorni fa per risolvere un buco scoperto di recente.
( Oracle , US-CERT , NVD / NIST )
Nella mia lettura iniziale di questo aggiornamento 11, ho visto chiaramente dove, per impostazione predefinita, disabilitava parzialmente la funzionalità run-without-ask, ma non vedevo dove stava effettivamente risolvendo il problema sottostante. Quindi, le seguenti informazioni sono corrette?
- La vulnerabilità sulla sandbox Java si trova sia in 7u10 che in 7u11?
- Ho ragione che questo è quasi esclusivamente un problema con il plug-in Java (navigazione web con Java abilitato), ma ha delle conseguenze in alcune applicazioni generalmente sconosciute che fanno uso della sandbox.
- È vero che l'unico modo per aggirare il problema è quello di impedire l'esecuzione di codice che non ti fidi. (disabilitare Java o regolare per chiedere sempre prima di eseguire applet)
- È vero che l'unica differenza rilevante tra 7u10 e 7u11 è che invece di (di default) eseguire le applet senza chiedere, Java 7u11 chiederà all'utente prima di eseguire applet senza firma, pur rimanendo per eseguire app firmate senza chiedere. Quale potrebbe significare che le app firmate possono ancora essere utilizzate per sfruttare la vulnerabilità?