Uma notícia de dois dias atrás (5.1.2010) falando sobre applets exploitando a vulnerabilidade CVE-2008-5353 que achei interessante:
http://isc.sans.org/diary.html?storyid=7879
[quote=ISC]We’ve had a report (thanks Tom!) of a java applet exploiting CVE-2008-5353 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-5353) as part of a web drive-by attack. While PoC has been around for a long time for this, this is the first time I’ve heard of it being used in the wild for a general attack. If anyone else has seen this, we’d be interested to hear about it.
The applet is already being detected by some A/V packages according to VirusTotal: https://www.virustotal.com/analisis/d4f5bcc9acecb2f53a78313fc073563de9fc4f7045dd8123a23a08f926a3974d-1262270360
As we get more details on what it does, we’ll update this entry with it.
UPDATE: Minnie Mouse was kind enough to write and let us know that exploits for this vuln apparently are available and included in the LuckySploit, Liberty and Fragus kits. In at least one case the exploit was a recent addition[/quote]
O CVE-2008-5353 é um problema na classe java.util.Calendar (trata-se de deserialização de objetos de uma forma não segura) que foi corrigido pela Sun em Dezembro de 2008 (Java 6 update 11), mas como muitas pessoas não atualizam o Java, os trojans ainda fazem sucesso. E eu sei de fato que a versão atual do Java está com pelo menos uns 6 falhas da mesma gravidade que a Sun ainda não corrigiu. A sorte é que o pessoal escrevendo os trojan desconhece essas falhas.
Os trojans devem continuar sendo escritos na linguagem nativa, a função do Java é simplesmente baixar um executável na maquina do usuário e depois executar.
Acho que fica cada vez mais óbvio que mesmo com o sandbox de segurança os Applets (ou JavaFX) na verdade não são tão mais seguros do que um ActiveX.
Falando estritamente de applets aqui, o mundo dos servidores de aplicações/web é totalmente diferente.
[]s,
Sami