Java漏洞: OpenJDK + IcedTea怎么办？

Question

由于存在严重的漏洞，现在有很多关于禁用java插件的建议。我知道这个话题已经在这个网站这里和这里上讨论过了。

在我到目前为止所读到的关于漏洞的报告中，它们要么是泛型Java，要么是Oracle Java。我之所以问这个问题，是因为我们公司的许多计算机都在运行OpenJDK + IcedTea插件。

所以，问题是这个：

有人知道来自OpenJDK的java插件是否也受到此漏洞的影响吗？

Answer 1

Java7和OpenJDK有很多共同的代码，因此，作为一般规则，Java7中的安全问题也适用于OpenJDK。在这种特殊情况下，该漏洞似乎是在Debian OpenJDK包中报告的，所以是的，它们是易受攻击的。见这个问题在另一个stackexchange站点上。因为甲骨文似乎已经修复了他们的JDK，所以在几个小时或几天内，OpenJDK中可能会出现同样的修复。

好的一面是，如果您使用OpenJDK和IcedTea，那么您很可能使用Linux。恶意软件作者很少以Linux系统为目标，因为在Linux机器上浏览Web的人不多，而且有许多不同的"Linux系统“，这使得编写一段二进制代码(例如恶意软件)变得困难，而这些代码将在大多数系统上运行( Linux生态系统依赖于源代码分发和每个分发包，而不是真正的二进制兼容性)。因此，恶意软件作者通常认为Linux“不值得付出努力”。这对解释Linux上恶意软件的稀缺性有很大帮助。

我的直觉是，在任何Linux机器实际上在野外受到攻击之前，修补程序将在正常的更新通道上可用(但您不必相信我的内脏--就我个人而言，我不需要)。

Answer 2

IcedTea 1.2绝对易受攻击。我知道第一手资料。Linux在远程代码执行恶意软件中是不安全的。节省的好处是，一个人通常以非特权用户的身份运行桌面，因此任何损害都是对用户帐户而不是对系统的损害。

Answer 3

在这种情况下，我不同意使用“我运行Linux，所以我是安全的”这一论点。通常情况下，我会同意恶意用户希望获得最大的“实惠”，因此可以跳过在Windows的同一漏洞上写入特定的*nix漏洞。然而，由于Java跨平台工作，无论是哪个平台(即Windows、Linux、MacOS等)，为利用JVM编写的恶意代码都不会同样有效。JVM正在运行吗？如果JVM被利用并用于在主机操作系统上执行功能，那么任何OS都不会受到威胁吗？