このような質問には正しいプラットフォームではないかもしれませんが、これらのような現在のJava 7 SEのセキュリティ問題に関する詳細情報をどこで(またはどこで)見つけることができるかを誰かが知っていますか?
これは基本的に脆弱性を悪用する方法を文書化するため、これらは公開されていないと思いますが、 「完全なJavaセキュリティサンドボックスバイパス」を拡張した情報をどこかで入手できる場合に備えて質問したいと思います。Alex Millersのブログを見つけましたが、数年間更新されていないようです。
ありがとう。
セキュリティ研究者が責任を負っている場合(そして、製造会社がそれぞれの評価に長時間座っていない場合)、PoCは通常、ソフトウェアの固定バージョンがリリースされ、ある程度広く普及した後にのみリリースされます。
あなたの興味が研究であるならば、それから古い、すでにリリースされた脆弱性は研究するためにたくさんのコンテンツを与えるはずです。
あなたの興味がそれらの脆弱性の積極的な悪用であるならば、私(またはこのサイトの他の誰か、私は願っています)からの助けを期待しないでください。
私の経験では、最新バージョンに移行する方が、古いバージョンを維持するよりも一般的にセキュリティリスクが少なくなります。その理由は、セキュリティ研究者は通常、問題を指摘するために非常に迅速に最新のリリースにジャンプするからです。通常、これらはかなり早く解決されます。一方、開発者は、問題が本当に広範囲に及んでいて、多くのアプリを壊さないソリューションをコーディングできない限り、古いリリースに戻ることはめったにありません。
現実には、2つの理由から、私たち単なる人間は未解決のセキュリティ問題に精通していません。
第一に、企業はまだ解決されていない問題を公開したくないということです。2つ目は、ブラックハットハッカーは自分が知っている問題を公開することにまったく関心がないということです。
率直に言って、OracleでさえJava 6の未解決のセキュリティ問題のすべてを知っているわけではありません。彼らは善良な人たちが彼らに話した問題を知っているだけであり、彼らが知るまでそれを私たちに公開することは決してありません。そのためのパッチをリリースしました。それでも、パッチの説明は、修正している内容を正確にわかりにくくする傾向があります。
私がセキュリティ監査人だったとしたら、Javaをハッキングして楽しみと利益を得るために議論しているフォーラムやサイトに自分自身を接続し、何が起こるかを単純に監視しようとしました。