Hay un nuevo Java lanzado Hace un par de días para resolver un agujero que se descubrió recientemente.
( Oracle , US-CERT , NVD / NIST )
En mi lectura inicial sobre esta actualización 11, vi claramente dónde, por defecto, deshabilitó parcialmente la funcionalidad de ejecución sin preguntar, pero no vi dónde estaba realmente solucionando el problema subyacente. Entonces, ¿es correcta la siguiente información?
- ¿Se encuentra la vulnerabilidad en el entorno limitado de Java tanto en 7u10 como en 7u11?
- Tengo razón en que esto es casi exclusivamente un problema con el complemento de Java (navegación web con Java habilitado), pero tiene consecuencias en algunas aplicaciones generalmente desconocidas que hacen uso del sandbox.
- ¿Es cierto que la única forma de evitar el problema es evitar que se ejecute un código en el que no confías? (ya sea deshabilitar Java o ajustar para preguntar siempre antes de ejecutar applets)
- ¿Es cierto que la única diferencia relevante entre 7u10 y 7u11 es que en lugar de (de forma predeterminada) ejecutar applets sin preguntar, Java 7u11 le preguntará al usuario antes de ejecutar applets sin firmar, mientras que para ejecutar aplicaciones firmadas sin preguntar? ¿Qué significa que las aplicaciones firmadas todavía se pueden usar para explotar la vulnerabilidad?