¿Un programa Java precompilado está afectado por vulnerabilidades de Java?

Navega tus respuestas
1

Sabemos que Oracle publica actualizaciones de Java debido a vulnerabilidades / problemas de seguridad y, por lo tanto, debemos asegurarnos de que hemos instalado la última versión de Java.

Ahora existen programas como ExcelsiorJet que compilan aplicaciones Java a código nativo. Estoy usando una aplicación de este tipo y puedo ver que usa Java 7 Update 75: 

0:000> lm vm java
start    end        module name
716b0000 716d0000   java       (export symbols)       C:\Program Files (x86)\...\bin\java.dll
    Loaded symbol image file: C:\Program Files (x86)\...\bin\java.dll
    ...
    File version:     7.0.750.13
    Product version:  7.0.750.13
    ...
    CompanyName:      Oracle Corporation
    ProductName:      Java(TM) Platform SE 7 U75

Dado que la versión actual es Java 7 Update 80, podemos asumir que esta versión tiene algunos problemas de seguridad.

Sin embargo, dado que esta aplicación solo ejecutará su propio código y no un código arbitrario como lo hace un complemento del navegador, ¿puedo asumir con seguridad que esta aplicación no abre un agujero de seguridad en mi PC?

    
pregunta Thomas Weller 28.08.2015 - 08:46
fuente

1 respuesta

3

Depende si estos son problemas de seguridad de la JVM o las bibliotecas de Java. Como la JVM no se utiliza, estos problemas no afectan a las aplicaciones compiladas. Pero los problemas en la biblioteca pueden afectar su aplicación. Si estos temas son relevantes para su programa, dependerá del tipo de problemas y de lo que haga su programa. Por ejemplo, los problemas que afectan la validación de los certificados TLS probablemente afectarán a su programa si realiza conexiones https, incluso si no ejecuta código externo como lo hace un complemento del navegador.

En efecto, debe averiguar qué tipo de problemas se solucionaron en las actualizaciones, a qué componente afectan y si la aplicación utiliza este componente. Entonces sabrás si la aplicación está afectada o no.

    
respondido por el Steffen Ullrich 28.08.2015 - 09:35
fuente

Lea otras preguntas en las etiquetas

¿Qué precauciones puedo tomar para proteger el software contra el usuario? ¿Qué tan fuerte es el impacto en el rendimiento de la firma cuando se utiliza RSA_AES_256_ECDH?