¿Supongamos que necesito convencer a alguien para que actualice a la última versión de SDK de Java? He escuchado que hay muchas vulnerabilidades de seguridad con versiones antiguas de Java, pero no puedo encontrar nada que me convenza de que este sea el caso. ¿Cuáles son algunas consecuencias difíciles o vulnerabilidades de seguridad que existen para las versiones anteriores de Java?
Hay varios de ellos, incluidos los que permiten la ejecución de código arbitrario.
De Qualys , el 20 de enero (la última semana de este escrito):
Java: las 19 vulnerabilidades tratadas en Java 8 y Java 7, 13 se pueden explotar de forma remota con la puntuación más alta CVSS 10. Esta debe ser una prioridad en su lista para sus esfuerzos de parcheo, al menos en el escritorio donde la mayoría de las vulnerabilidades están dirigidas . Solo cuatro vulnerabilidades también se aplican a los servidores.
CVSS 10 significa:
se pueden usar para tomar el control de la máquina de destino, trabajar de forma remota a través de una red y sin requerir credenciales
Precisamente, cómo se pueden explotar estas vulnerabilidades recientemente parcheadas y sus nombres oficiales, no se mencionan, suponiendo que tengan nombres oficiales, ya que Qualys sugiere que pueden incluir ataques de 0 días. Oracle no está dando muchos detalles.
Otra vulnerabilidad más antigua de 2013 también permite la ejecución de código arbitrario, a través de un applet:
Entonces, el gran riesgo es el control completo de la máquina objetivo.
Para los usuarios finales, la ejecución de un código arbitrario en su máquina puede resultar de la carga de un applet malicioso.
Lea otras preguntas en las etiquetas java