Le applicazioni Java sono vulnerabili a CVE-2014-6321 (WinShock)?

2

CVE-2014-6321 (noto anche come MS14-066) è una vulnerabilità di overflow dell'heap rilevata dai tecnici Microsoft in Schannel, l'implementazione SSL / TLS utilizzata da Windows.

La mia applicazione Java utilizza SSL (implementazione JSSE) e quindi ora mi chiedo se la mia applicazione è a rischio a causa di questa vulnerabilità o è irrilevante?

    
posta Guy 14.11.2014 - 17:09
fonte

1 risposta

4

La vulnerabilità (ancora sconosciuta) è descritta anche come "Vulnerabilità legata all'esecuzione di codice in remoto di Microsoft Schannel", che indica che si tratta di una debolezza di implementazione (ovvero un sovraccarico del buffer probabilmente noioso), non di < em> protocollo debolezza. Quindi, non c'è motivo di credere che la vulnerabilità sarebbe condivisa con qualsiasi altra implementazione indipendente del protocollo.

(Inoltre, l'implementazione di SSL / TLS di Java non solo è sviluppata in modo indipendente, ma è anche scritta in Java, che è intrinsecamente resiliente ai buffer overflow, poiché tutti gli accessi di array in Java sono intrinsecamente validati rispetto alla lunghezza effettiva dell'array.)

    
risposta data 14.11.2014 - 18:06
fonte

Leggi altre domande sui tag