Tweet
Langsam wird es offtopic.
Wenn erstmal Schadcode auf dem System ist, der zur Ausführung gelangt braucht er keine JRE mehr. Er kann bereits selber all das anstellen was er will. Sogar viel einfacher als extra die JRE dazu zu bewegen Bytecode aufzuführen.
Die Schwachstelle ist, das man über den Webbrowser mittels des Applets mögliche Schwachstellen in der JRE ausnutzen kann um Systemzugriff zu erlangen den der Browser sonst nicht ermöglichen würde. Gleiches gilt im übrigen auch für Flash. Aber selbst da sind inzwischen die Browserhersteller bemüht die Ausführungen von Plugins abzusichern. Der Schutz ist aber immer nur so gut wie die Menschen. Also nie fehlerfrei. Das einzige was bleibt ist die addons einfach nicht zu nutzen.
Das hat aber wie gesagt nichts mit der JRE zu tun sondern nur mit dem designproblem von browserplugins.
Wenn der Anwender erst Dinge auf seinem Rechner hat und die ausführt, ist die JRE das letzte was der Angreifer zum Agriff nutzen wird. Er müsste ja erst Bugs in der Sandbox der JVM ausnutzen. Viel zu kompliziert. Einfach ein eigenes Programm schreiben und den Anwender dazu bringen es aufzuführen. Das kann dann nicht mehr oder weniger schlimmes als die JRE.
Zugriff über das Internet muss verhindert werden. Das betrifft alle Plugins die eigenständig Code ausführen (Java, Flash usw). Man exponiert ja auch keine Kommandozeile/Shell für jedermann ins Netz.
Grüße,
OlliL
Wenn erstmal Schadcode auf dem System ist, der zur Ausführung gelangt braucht er keine JRE mehr. Er kann bereits selber all das anstellen was er will. Sogar viel einfacher als extra die JRE dazu zu bewegen Bytecode aufzuführen.
Die Schwachstelle ist, das man über den Webbrowser mittels des Applets mögliche Schwachstellen in der JRE ausnutzen kann um Systemzugriff zu erlangen den der Browser sonst nicht ermöglichen würde. Gleiches gilt im übrigen auch für Flash. Aber selbst da sind inzwischen die Browserhersteller bemüht die Ausführungen von Plugins abzusichern. Der Schutz ist aber immer nur so gut wie die Menschen. Also nie fehlerfrei. Das einzige was bleibt ist die addons einfach nicht zu nutzen.
Das hat aber wie gesagt nichts mit der JRE zu tun sondern nur mit dem designproblem von browserplugins.
Wenn der Anwender erst Dinge auf seinem Rechner hat und die ausführt, ist die JRE das letzte was der Angreifer zum Agriff nutzen wird. Er müsste ja erst Bugs in der Sandbox der JVM ausnutzen. Viel zu kompliziert. Einfach ein eigenes Programm schreiben und den Anwender dazu bringen es aufzuführen. Das kann dann nicht mehr oder weniger schlimmes als die JRE.
Zugriff über das Internet muss verhindert werden. Das betrifft alle Plugins die eigenständig Code ausführen (Java, Flash usw). Man exponiert ja auch keine Kommandozeile/Shell für jedermann ins Netz.
Grüße,
OlliL
Kommentar