OpenJDK 是否容易受到 0 Day 攻击?

OpenJDK 是否容易受到 0 Day 攻击?

我很好奇,OpenJDK 是否也容易受到目前正在困扰 Java 7 的零日漏洞攻击,因此专家告诉人们禁用 Java,直到在所有操作系统上找到解决方案。

答案1

更新:参见Ubuntu 安全通知 USN-1693-1

研究人员发现,OpenJDK 7 的安全机制可以通过 Java 小程序绕过。如果用户被诱骗打开恶意网站,远程攻击者可以利用这一点,以用户调用程序的身份执行任意代码。


可能不适用于 Oracle Java 7 插件正在被广泛使用的特定漏洞。这些漏洞是通常专门设计用于运行特定的一组软件。

然而,OpenJDK 可以易受伤害的在一个相似的这可能是由于 Java 在浏览器中的工作方式存在设计/架构错误。我找不到任何详细信息(在撰写本文时)来用事实支持这一说法,但之前的漏洞专门针对 Oracle 的 JRE/JDK,而 OpenJDK 有自己的漏洞。

请注意此上下文中漏洞利用和漏洞之间的区别。

另请注意如果您在 Ubuntu 上运行 Oracle 的 JRE/JDK,可能会受到一定影响。但是,这些漏洞可能针对 Windows 主机,并且由于许可问题,Ubuntu 不再分发 Oracle 的 JRE/JDK(Oracle不再允许重新分发)。

答案2

我不会掉以轻心。OpenJDK 与 Oracle Java 共享大部分代码。大多数用 Java 编写的应用程序都可以在这两种实现上运行。当然,恶意软件只是另一个应用程序。如果漏洞很常见,你可能会大吃一惊。

现在,破解(我是说 root)Linux 可能比破解 Windows 更棘手(而且可能不值得花精力去研究和尝试破解所有可能的 Linux 变体的安全模型、补丁等等)——但是,它们可以在用户空间中窃取数据甚至删除数据。如果应用程序成功启动,即使使用当前用户权限,它也可能访问用户可读取的任何数据。我认为实现跨平台数据挖掘器并不复杂。我想您存储在浏览器中的密码(更不用说其他个人数据,如图片)可能会让一些俄罗斯机器人牧民感到高兴。

所以,请谨慎。无论您使用哪种操作系统,这种情况都可能发生。最简单的解决方案是启用点击播放(所有主流浏览器都支持此功能),不要沉迷于点击。虽然 Java 插件(不要误认为是 Java 脚本,它不是 Java)现在并不那么普及,但我个人已经禁用该插件很长时间了,而且从来不需要它。

相关内容