我看到很多与运行恶意小程序相关的Java CVE,但我很少看到影响JVM服务器端组件的CVE。例如:http://www.f-secure.com/v-descs/exploit_java_cve_2012_4681_h.shtml。
有人能够列举一些例子或来源(也许是服务器端与客户端CVE的列表)来解释它们之间的区别吗?
有人能够列举一些例子或来源(也许是服务器端与客户端CVE的列表)来解释它们之间的区别吗?
1个回答
4
一般来说,影响服务器端的CVE并不多见,因为服务器端几乎从不运行用户提供的代码(或攻击者的代码)。服务器端的漏洞主要是未能正确处理输入和配置问题,所以这不是Java的问题。然而,客户端(例如小程序)存在许多CVE,因为用户的本地JVM实际上正在运行攻击者提供的字节码。JVM中的漏洞随后可以被触发和利用。这些相同的漏洞通常存在于服务器端,但攻击者无法访问它们。另一个你不会看到很多服务器端CVE的原因是大多数服务器端漏洞是应用程序/实现特定的,只影响一个应用程序。然而,像WordPress这样的大型Web应用程序有相当多的CVE。
- Freedom_Ben
1
1不知怎么的,我误读了这个问题并发布了几乎相同的答案:攻击服务器JVM的人通常只能提供数据,而攻击客户端JVM的人通常可以运行任何他想要的代码。 - Joachim Sauer
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接