Hlavní navigace

Názor ke zprávičce Bezpečnostní díra v Java knihovně ohrožuje stovky aplikací od Karel - To v této chvíli nikdo neví, nebylo zveřejněno...

  • 9. 11. 2015 13:33

    Karel (neregistrovaný) 93.90.162.---

    To v této chvíli nikdo neví, nebylo zveřejněno dost informací. Podle některých spekulací se jedná o stejný "exploit" jako když webová stránka odněkud stáhne javascript a ten spustí. Jinými slovy - klient si odněkud stáhne data, což je naprosto běžný postup. A pak je otázka ta, zda autor nějaké knihovny měl tak skvělý nápad, že ta data označí za spustitelný kód a spustí ho. Pokud to tak je, pak útočník může pozměnit přenášená data a tím podvrhnout kód, který se pak spustí.

    Jenže nevíme, o jakou knihovnu jde, takže těžko to ověřit. V každém případě Java to v základu neumí, do dat/z dat načítá jen hodnoty atributů, nikoliv bytekód. Ale jde napsat program takový, aby si bytekód tahal a spustil. Běžně se to používá, ale vyžaduje to netriviální úsilí (viz ClassLoader) a autor by si tak měl být vědom toho, že stahuje bytekód, který pak spouští. Včetně úvah nad tím, zda to stahuje z důvěryhodného zdroje.