web-dev-qa-db-ja.com

Java(JRE)の脆弱性が2012-2013でピークに達したのはなぜですか?

1年あたりのJREに関するCVEレポートの量のグラフを撮りました。CVE reports

これを見るとわかるように、過去数年間のJavaに関するニュースアイテムの量を見ると、2012-2013でこれが急増していることが容易に推測できます。しかし、理由の説明が見つからない理由:

  • Javaはより人気を得ましたか?
  • Javaはハッカーに人気が高まっただけですか?
  • オラクルによる買収のせいですか?
27
Glenn Vandamme

これは「トレンド効果」だと思います。これは、ファッションに関するあらゆるもの(「衣類」の意味)の原動力でもあります。地元のフランス人にファッションについて語ってもらいましょう。

ファッションは非常に自己矛盾する社会的行動です。ファッションをフォローする人は両方を求めます:

  • 認められた合意されたコード(例:布の形状とテクスチャーと色の任意の選択)を順守することを示すことにより、特定のローカルグループで受け入れを得る。
  • 太字(暗黙的に:他のグループメンバーよりも太字)を表示して同じグループ内の可視性を得ると、そのグループの最新のソーシャルコードまたは未来ソーシャルコードが具現化されます。

実際には、ファッションの犠牲者はリーダーとフォロワーの両方でなければなりません。コンテキストが電子工学である場合、正帰還を備えた回路を観察すると言うことができます。これは、局所的に安定した構成間で必然的に鋭い遷移を示す必要があります。追加の効果は、衣料品のファッションでは、唯一の普遍的な効果は急速な減価であるということです。ファッションが数か月以上アクティブなままになることはありません。一言で言えば、ファッションは速いペースであり、それが一方向にわずかに傾くと、誰もがその方向に急ぎます。これは、ファッションが暴力的な突然の状態で行き来する方法を説明しています。

ハッカーはファッションの犠牲者のオタク版です。彼らの興味と努力は常に「ホットな話題」のように見えるものによって引き起こされます。キーボードで昼夜を過ごす人々は、社会的排除に非常に敏感であることが多いので(平均して社会がほとんどないため)、ピアの認識の最後の断片を奪う「これまでの」テクノロジーに集中するという考えを嫌います。彼らが望むかもしれないこと。したがって、トピックが栄光を約束するように思われるとき、彼らはすべてそれに向かって走ります。 「栄光」はここでは「スラッシュドットテーブル」と同等と見なすことができます。

セキュリティとJavaの特定のケースでは、きっとそのきっかけはOracleによるSunの買収だったのかもしれません。オラクルは「悪者」として知られているため、オラクル製品のセキュリティホールを見つけることには常に名声があります(コンピューターの人々は常に虚無主義の弱点を抱えてきました)。さらに、Java(アプレットモデル)のセキュリティモデルは、潜在的な脆弱性を伴って熟しているように見えます。Javaアプレットモデルでは、 "セキュリティ境界"です。敵対的な世界(アプレットコード自体)と保護された世界(ホストシステム)の間の境界は、標準ライブラリAPIを通過します。何百ものシステムクラスがアクセス許可の複雑なシステムをチェックして適用する必要があります。攻撃対象はhuge時々穴が開いているに違いありません。Sunの人々は、彼らがやったことは非常に得意でしたが、アプレットモデルを安全にするには、神の開発力が必要です。

いくつかのバグが発見されて公表されるとすぐに、主張されていない評判の富のアイデアは、サバンナでの火のように集団ハッカーの心を通り抜け、彼ら全員は急いで駆けつけました。これが Bonanza の力です。頭脳が富の約束(この場合はTwitterのフォロワーやSlashdotのスコア)に夢中になったら、それを止めることはできません。

しかし、それはまもなく終了します。 「Javaのバグはすごい2013年です!」

27
Tom Leek

優れたインフォグラフィック!誰かが実際に座ってさまざまなCVEを読み通して理解していなければ、あらゆる種類の実質的な答えを提供することは困難です。そうは言っても、私はここで大胆に推測するつもりです。

  1. ブラウザークリープ-3つのメインストリームブラウザー(IE、Firefox、およびChrome)を使用する場合、プラグインは、全体的な環境の幅広いセット向けに開発する必要があります。ブラウザーごとに実際のブラウザー環境に戻るフックが異なるため、このようなさまざまな環境との統合にはさまざまな見落としがあることになります(スマートフォンも忘れないでください!)。

  2. Android-主にAndroidが原因で、今日ほど広くJavaが使用されたことはありません。プラットフォーム(Androidプラットフォームではなく、Javaのコアプラットフォームではない)を叩く開発者が増えるにつれて、より多くのバグが発見されるのは当然です。開発者の世界がセキュリティを意識するようになると、これらのバグは報告および開示されています。

  3. 陰謀-可能性のあるOr​​acleはJavaを殺そうとしている(AdobeがFlashを殺害したように)。そのような素晴らしいものですが、私はその可能性を排除していません。

それは私の野生の推測の範囲です。

乾杯、

-C

6
C.J. Steele

Jre 7は多くの新機能と多くのバグを追加しました。 2014年1月、jre 7のアップデートにより、アプレットの実行が根本的に困難になりました。

0
user43876