¿Por qué las vulnerabilidades de Java (JRE) aumentaron en 2012-2013?

Navega tus respuestas
27

Tomé un gráfico de la cantidad de informes de CVE relativos al JRE por año.

Ahora, como puede ver este aumento en 2012-2013, que podría haberse adivinado fácilmente, si nos fijamos en la cantidad de noticias relacionadas con Java en los últimos años. Sin embargo, estoy teniendo problemas para encontrar una explicación de por qué:

  • ¿Java se hizo más popular?
  • ¿Se acaba de hacer Java más popular para hackers?
  • ¿Se debe a la adquisición por parte de Oracle?
pregunta Glenn Vandamme 07.04.2014 - 16:01
fuente

3 respuestas

27

Creo que este es un "efecto de tendencia" que también es el impulso en todo lo relacionado con la moda (en el sentido de "ropa"). Permita que el francés local hable sobre moda.

La moda es un comportamiento social profundamente auto-contradictorio. Las personas que siguen las modas buscan ambas:

  • para ganar aceptación en un grupo local dado al mostrar adherencia a los códigos acordados percibidos (por ejemplo, las elecciones arbitrarias de formas de tela, texturas y colores);
  • para ganar visibilidad dentro del mismo grupo al mostrar una negrita (implícitamente: más audaz que otros miembros del grupo) para incorporar los códigos sociales más actualizados o incluso futuros para ese grupo.

En efecto, la víctima de la moda debe ser tanto un líder como un seguidor. Si el contexto fuera electrónico, diríamos que observamos un circuito con retroalimentación positiva, que necesariamente debe mostrar transiciones agudas entre configuraciones localmente estables. Un efecto adicional es que, en la moda de la ropa, el único efecto universal es la depreciación rápida: ninguna moda puede permanecer activa durante más de unos pocos meses. En pocas palabras, la moda es de ritmo rápido, y cuando se inclina ligeramente hacia un lado, todo el mundo corre en esa dirección. Esto explica la forma en que las modas van y vienen con una brusquedad violenta.

Los piratas informáticos son la versión geek de las víctimas de la moda. Su interés y sus esfuerzos siempre están motivados por lo que parecen ser "temas candentes". Las personas que pasan sus días y noches en los teclados a menudo son muy sensibles a la exclusión social (ya que en promedio tienen poca sociedad), por lo que odian la idea de concentrarse en una tecnología "ha sido" que les privaría de los últimos fragmentos de reconocimiento por parte de sus compañeros. para que puedan esperar. Por lo tanto, cuando un tema parece prometer gloria, todos corren hacia él. "Glory" puede equipararse aquí con "slashdottable".

En el caso específico de la seguridad y Java, el desencadenante pudo haber sido, de hecho, la adquisición de Sun por Oracle. Oracle es un conocido "chico malo", por lo que siempre hay algo de fama en encontrar agujeros de seguridad en los productos de Oracle (la gente de las computadoras siempre ha tenido una debilidad por el nihilismo). Además, el modelo de seguridad de Java (el modelo de applet) parece estar maduro con posibles vulnerabilidades: en el modelo de applet de Java, el "perímetro de seguridad", que es el límite entre el mundo hostil (el código del applet en sí mismo) y el mundo protegido (el sistema host) pasa por la biblioteca API estándar: cientos de clases del sistema deben verificar y hacer cumplir el complejo sistema de permisos. La superficie de ataque es enorme . DEBE haber agujeros de vez en cuando. La gente de Sun era bastante buena en lo que hacía, pero hacer que el modelo de applet fuera seguro tomaría poderes de desarrollo divino.

Tan pronto como se encontraron y publicaron algunos errores, la idea de riquezas de reputación no reclamada pasó por las mentes de los piratas informáticos como un incendio en la sabana, y todos se apresuraron. Tal es el poder de Bonanza . Una vez que los cerebros están en llamas con la promesa de riqueza (en este caso, los seguidores de Twitter o las puntuaciones de Slashdot), no hay forma de detenerlos.

Sin embargo, terminará pronto. "¡Los errores de Java son muy buenos para el 2013!"

    
respondido por el Tom Leek 07.04.2014 - 17:04
fuente
6

Excelente infografía! A menos que alguien realmente se sentara y leyera los distintos CVE y los entendiera de entrada y salida, sería difícil dar una respuesta sustancial. Dicho esto, estoy dispuesto a conjeturar locamente aquí.

  1. Cruce del navegador: con tres navegadores de flujo principal (IE, Firefox y Chrome), los complementos deben desarrollarse para un conjunto más amplio de entornos generales. Los diferentes navegadores volverán a tener diferentes ganchos con el entorno real del navegador, por lo que sería necesario que haya varios descuidos en la integración con un entorno tan variado (¡no olvide los teléfonos inteligentes también!)

  2. Android: nunca antes se había utilizado tanto Java como hoy, debido en gran parte a Android. Con más desarrolladores atacando la plataforma (no la plataforma Android, sino la plataforma central de Java), es natural que se encuentren más errores y, a medida que el mundo de los desarrolladores se vuelve más consciente de la seguridad, es natural que se informen y revelen estos errores. .

  3. (¡alerta de sombrero de papel de aluminio!) Conspiración: es posible que Oracle esté tratando de matar Java (como Adobe mató a Flash). Razones para eludirme ya que mi sombrero de conspiración no es lo suficientemente grande como para concebir o idear cosas tan fantásticas, pero no excluyo la posibilidad.

Ese es el alcance de mi conjetura salvaje.

Saludos,

-C

    
respondido por el C.J. Steele 07.04.2014 - 16:42
fuente
0

El jre 7 agregó muchas características nuevas y muchos errores. En enero de 2014, las actualizaciones del jre 7 hicieron que sea radicalmente más difícil ejecutar applets.

    
respondido por el user43876 09.04.2014 - 17:17
fuente

Lea otras preguntas en las etiquetas

gpg - cifrar falla ¿Es una buena práctica mostrar 403 errores de acceso no autorizados al usuario?