Supponiamo di dover convincere qualcuno a eseguire l'aggiornamento all'ultima versione dell'SDK di Java? Ho sentito che ci sono molte vulnerabilità di sicurezza con vecchie versioni di java ma non riesco a trovare nulla che mi convinca concretamente che sia così? Quali sono alcune conseguenze o exploit di sicurezza che esistono per le vecchie versioni di Java?
Ce ne sono alcuni, compresi quelli che consentono l'esecuzione di codice arbitrario.
Da Qualys , il 20 gennaio (la settimana scorsa al momento della stesura):
Java: 19 vulnerabilities addressed in Java 8 and Java 7, 13 are remotely exploitable with highest score CVSS 10. This should be high on your list for your patching efforts, at least on the desktop where most of the vulnerabilities are aimed at. Only four vulnerabilities also apply to servers.
CVSS 10 significa:
they can be used to take control over the targeted machine, working remotely through a network and without requiring credentials
Proprio come queste vulnerabilità recentemente patchate possono essere sfruttate, e i loro nomi ufficiali, non viene menzionato - assumendo che abbiano nomi ufficiali, poiché Qualys suggerisce che potrebbero includere exploit da 0 giorni. Oracle non fornisce molti dettagli.
Un'altra vulnerabilità più vecchia del 2013 consente anche l'esecuzione di codice arbitrario tramite un'applet:
Quindi, il grosso rischio è il controllo completo della macchina target.
Per gli utenti finali, l'esecuzione di codice arbitrario sul proprio computer potrebbe derivare dal caricamento di un'applet dannosa.
Leggi altre domande sui tag java