OpenJDK 是否容易受到 0 Day 攻击？

Question 1

更新：参见Ubuntu 安全通知 USN-1693-1

研究人员发现，OpenJDK 7 的安全机制可以通过 Java 小程序绕过。如果用户被诱骗打开恶意网站，远程攻击者可以利用这一点，以用户调用程序的身份执行任意代码。

可能不适用于 Oracle Java 7 插件正在被广泛使用的特定漏洞。这些漏洞是通常专门设计用于运行特定的一组软件。

然而，OpenJDK 可以易受伤害的在一个相似的这可能是由于 Java 在浏览器中的工作方式存在设计/架构错误。我找不到任何详细信息（在撰写本文时）来用事实支持这一说法，但之前的漏洞专门针对 Oracle 的 JRE/JDK，而 OpenJDK 有自己的漏洞。

请注意此上下文中漏洞利用和漏洞之间的区别。

另请注意是如果您在 Ubuntu 上运行 Oracle 的 JRE/JDK，可能会受到一定影响。但是，这些漏洞可能针对 Windows 主机，并且由于许可问题，Ubuntu 不再分发 Oracle 的 JRE/JDK（Oracle不再允许重新分发）。

Answer

更新：参见Ubuntu 安全通知 USN-1693-1

研究人员发现，OpenJDK 7 的安全机制可以通过 Java 小程序绕过。如果用户被诱骗打开恶意网站，远程攻击者可以利用这一点，以用户调用程序的身份执行任意代码。

可能不适用于 Oracle Java 7 插件正在被广泛使用的特定漏洞。这些漏洞是通常专门设计用于运行特定的一组软件。

然而，OpenJDK 可以易受伤害的在一个相似的这可能是由于 Java 在浏览器中的工作方式存在设计/架构错误。我找不到任何详细信息（在撰写本文时）来用事实支持这一说法，但之前的漏洞专门针对 Oracle 的 JRE/JDK，而 OpenJDK 有自己的漏洞。

请注意此上下文中漏洞利用和漏洞之间的区别。

另请注意是如果您在 Ubuntu 上运行 Oracle 的 JRE/JDK，可能会受到一定影响。但是，这些漏洞可能针对 Windows 主机，并且由于许可问题，Ubuntu 不再分发 Oracle 的 JRE/JDK（Oracle不再允许重新分发）。

Question 2

我不会掉以轻心。OpenJDK 与 Oracle Java 共享大部分代码。大多数用 Java 编写的应用程序都可以在这两种实现上运行。当然，恶意软件只是另一个应用程序。如果漏洞很常见，你可能会大吃一惊。

现在，破解（我是说 root）Linux 可能比破解 Windows 更棘手（而且可能不值得花精力去研究和尝试破解所有可能的 Linux 变体的安全模型、补丁等等）——但是，它们可以在用户空间中窃取数据甚至删除数据。如果应用程序成功启动，即使使用当前用户权限，它也可能访问用户可读取的任何数据。我认为实现跨平台数据挖掘器并不复杂。我想您存储在浏览器中的密码（更不用说其他个人数据，如图片）可能会让一些俄罗斯机器人牧民感到高兴。

所以，请谨慎。无论您使用哪种操作系统，这种情况都可能发生。最简单的解决方案是启用点击播放（所有主流浏览器都支持此功能），不要沉迷于点击。虽然 Java 插件（不要误认为是 Java 脚本，它不是 Java）现在并不那么普及，但我个人已经禁用该插件很长时间了，而且从来不需要它。

Answer

我不会掉以轻心。OpenJDK 与 Oracle Java 共享大部分代码。大多数用 Java 编写的应用程序都可以在这两种实现上运行。当然，恶意软件只是另一个应用程序。如果漏洞很常见，你可能会大吃一惊。

现在，破解（我是说 root）Linux 可能比破解 Windows 更棘手（而且可能不值得花精力去研究和尝试破解所有可能的 Linux 变体的安全模型、补丁等等）——但是，它们可以在用户空间中窃取数据甚至删除数据。如果应用程序成功启动，即使使用当前用户权限，它也可能访问用户可读取的任何数据。我认为实现跨平台数据挖掘器并不复杂。我想您存储在浏览器中的密码（更不用说其他个人数据，如图片）可能会让一些俄罗斯机器人牧民感到高兴。

所以，请谨慎。无论您使用哪种操作系统，这种情况都可能发生。最简单的解决方案是启用点击播放（所有主流浏览器都支持此功能），不要沉迷于点击。虽然 Java 插件（不要误认为是 Java 脚本，它不是 Java）现在并不那么普及，但我个人已经禁用该插件很长时间了，而且从来不需要它。

OpenJDK 是否容易受到 0 Day 攻击？

答案1

更新：参见Ubuntu 安全通知 USN-1693-1

答案2

相关内容