OpenJDK是否容易受到0天的攻击？

更新：请参阅Ubuntu安全通知USN-1693-1

据发现OpenJDK 7的安全机制可以通过Java applet绕过。 如果用户被欺骗打开恶意网站，远程攻击者可以利用它来执行任意代码执行，因为用户调用该程序。

可能不适用于Oracle Java 7插件的野外使用的特定漏洞。 这些漏洞通常专门用于运行特定的软件集。

但是，OpenJDK可能会以类似的方式受到攻击 ，如果是因为Java在浏览器中的工作方式存在设计/体系结构错误。 我找不到任何有关它的详细信息（在撰写本文时）用事实支持该声明，但以前的漏洞专门针对Oracle的JRE / JDK而OpenJDK有自己的漏洞。

请注意此上下文中漏洞利用和漏洞之间的区别。

另请注意，如果您在Ubuntu上运行Oracle的JRE / JDK， 则可能会受到一定程度的影响。 但是，这些漏洞可能是针对Windows主机的，并且由于许可问题（Oracle 不再允许重新分发 ），Oracle的JRE / JDK不再由Ubuntu 分发 。

我不会掉以轻心。 OpenJDK与Oracle Java共享大多数代码。 大多数用Java编写的应用都适用于这两种实现。 当然，恶意软件只是另一个应用程序。 如果漏洞是常见漏洞，您可能会感到意外。

现在，打开（我的意思是根）Linux比Windows更麻烦（并且可能不值得努力研究并试图击败所有可能的Linux变体的安全模型，补丁等） – 但是，它们可以在用户空间窃取数据甚至删除它或其他东西。 如果应用程序即使在当前用户权限下成功启动，也可能会获得用户可供读取的任何数据。 我认为实现跨平台数据挖掘器并不复杂。 我想你的密码存储在浏览器中（不是谈论其他个人数据，如图片）可能会让一些俄罗斯机器人牧民高兴。

所以。 警告。 无论您使用哪种操作系统，都可能发生这种情况。 最简单的解决方案是启用点击播放（所有主流浏览器都支持它）而不是点击快乐。 虽然Java插件（不要误认为它是Java脚本，那不是Java）现在并不普遍，但我个人已经禁用了多年的插件，从来没有需要它。