Java это глобально и надёжно!

Было же уже.

Ты забыл упомянуть, что пока это касается только оракловской реализации.

Верните sun...

А что вы хотели?
Ведь жабу пишут высококлассные профессионалы.

update 12 так и не увидит свет? :)

нашли ещё две дыры.

стабильность - признак мастерства.

Да это же гидра!

Они просто подтверждают своим существованием древний программерский баян: «исправление одной известной ошибки влечет за собой появление нескольких неизвестных ошибок» :)

исправляющем дыру
нашли ещё две дыры.

Прям анатомия девушки.

если дыра в java то можешь попробовать через нее сломать linux.org.ru

а если дыра в плагинах браузеров то причем тут java?

а если дыра в плагинах браузеров то причем тут java?

Дыра в песочнице, которую создает Java.

а если дыра в плагинах браузеров то причем тут java?

JVM это как бы java virtual machine

Так довайте же сламаем linux.org.ru

ведь мы все хакеры а java решето

JVM это как бы java virtual machine

Спасибо, капитан. Вот только новость про jvm security sandbox, которая используется далеко не везде, а лишь там, где имеет место «remote code», т.е. на системах, где есть возможность подгружать небезопасный код написаный непонятно кем и загруженный непонятно откуда. А это: веб-апплеты, некоторые контейнеры сервлетов, всякие jboss-энтерпрайзы и прочие узкоспециализированные области.

Поэтому, трезвый взгляд на вещи намекает нам, что дырка касается:
- Многих владельцев java-плагина в браузере.
- Некоторых владельцев java-хостингов.
- Некоторых прочих лиц.

Всего 3 дыры? Нифига, это же очень мало для такого проекта :))

Так довайте же сламаем linux.org.ru

Вот как Макском разрешит подгружать jar'ы для кастомных виджетов, вот тогда и «буим какиры»

так значит не «решето»? то есть трояна нужно самому запустить, как в анекдоте про олбанский вирус?

так значит не «решето»? то есть трояна нужно самому запустить, как в анекдоте про олбанский вирус?

Это значит, что вы не умеете читать то, что пишут ваши оппоненты.

т.е. на системах, где есть возможность подгружать небезопасный код написаный непонятно кем и загруженный непонятно откуда. А это: веб-апплеты, некоторые контейнеры сервлетов, всякие jboss-энтерпрайзы и прочие узкоспециализированные области.

С апплетами согласен, а вот при чем тут контейнеры сервлетов и прочий тырпрайз? Сколько лет работаю - никогда не видел, чтобы на серваке грузился неизвестный код неизвестно откуда. Т.е. возможность конечно есть, но ей никто не пользуется в здравом уме.

Сколько лет работаю - никогда не видел, чтобы на серваке грузился неизвестный код неизвестно откуда.

Ну как пример, когда какой нибудь долбодятел, скачивает хз откуда, хз какой BestInTheWorldProprietaryFormatParser.jar и лепит его в проект. Хотя пример неудачный. Но идиоты не предсказуемы.

Сколько лет работаю - никогда не видел, чтобы на серваке грузился неизвестный код неизвестно откуда. Т.е. возможность конечно есть, но ей никто не пользуется в здравом уме.

А как же куча зависимостей проекта в виде .jar'ок от ivy/maven? + У тебя же именно сервак, а не *хостинг*.

Ну идиоту ничто не мешает в проекте написать Runtime.getRuntime().exec(«rm -rf /»); Тоже дыра в безопасности ;)

Не, мэйвеновские зависимости это не то. 1 - никто не мешает их проверить перед включением в проект. 2 - многие вообще используют только внутренние репозитории с проверенными jar-никами. А вот такого, чтобы непроверенный пользователь (а не разработчик) мог загрузить свой кастомный джарник и сервер его исполнил - нет.