web-dev-qa-db-ja.com

Javaアプレットの脆弱性とは実際に*何ですか?

Javaアプレットは脆弱であることを意味しますが、正確にはどういう意味ですか?基礎となるjreの脆弱性?ブラウザ内? "アプレット"コンポーネント内?

何が悪用されるのですか?

2
microwth

クラスJavaアプレットの脆弱性

アプレット自体の脆弱性

これには、次のようなアプレットの記述方法に関する問題が含まれます。

  • バックドア
  • クロスサイトスクリプティング
  • クロスサイトリクエストフォージェリ

ブラウザとJREの脆弱性

これには、次のようなJavaアプレットの実行を許可することに関する問題が含まれます。

  • ユーザーを追跡する機能
  • 悪意のあるアクションを実行する能力
  • サンドボックスエスケープ

Javaアプレットがとても悪いのはなぜですか

アプレットをサンドボックス化するのは難しいため、サンドボックスエスケープを許可するEdgeケースが存在します。 Webページが実行する必要があるほとんどのことは、追加の脆弱性を追加せずに実行できるため、アプレットを無効にしてみることで、攻撃対象が減ります。

3
jrtapsell