<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Sat, Dec 21, 2013 at 2:34 AM, thufir <span dir="ltr"><<a href="mailto:hawat.thufir@gmail.com" target="_blank">hawat.thufir@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">On Fri, 20 Dec 2013 12:55:45 -0600, Tommy Trussell wrote:<br>

<br>
>> <a href="http://www.securelist.com/en/analysis/204792310/" target="_blank">http://www.securelist.com/en/analysis/204792310/</a><br>
<div class="im">Kaspersky_Lab_Report_Java_under_attack_the_evolution_of_exploits_in_2012_2013<br>
>><br>
>><br>
>><br>
>><br>
> On closer inspection that article is somewhat of an advertisement.<br>
> However I think you can glean from it that the major threat is not Java<br>
> alone, but Java embedded in web sites that exploit vulnerabilities --<br>
> the places you can jump OUT of the sandbox, essentially.<br>
<br>
<br>
</div>It's not just an advertisement, it's misinformed:<br>
<br>
"...and the software was not built with security in mind."  This is just<br>
flat-out wrong, Java, from the get-go, has been a sandbox.  That was one<br>
of its selling points.<br>
<br>
In all honesty, I haven't looked into it.  However, Kaspersky is selling<br>
software for a different OS, an OS known to have security problems.<br>
They're not likely to say that the problem is inherent to the OS.<br>
<br>
I have no idea how it really works, but I'm wondering if it's not that the<br>
sandbox per se is compromised, but perhaps it's just not really possible<br>
to sandbox a VM on Windows?<br>
<br>
I've never seen, to my knowledge, and I haven't looked into it, a known<br>
case of the JVM sandbox, not sure of the technical term, not working on<br>
Linux.<br>
<br>
That is, is there an actual case of a program which can break out of the<br>
sandbox on Linux JVM?  I've never heard of one, and a cursory glance of<br>
the security mailing list, nothing popped out.<br>
<div class=""><div class="h5"></div></div></blockquote></div><br></div><div class="gmail_extra">I will be the first to admit I don't know. All I know is what I have read, and some of the articles specifically mention linux. For example:</div>
<div class="gmail_extra"><br></div><div class="gmail_extra"><a href="http://krebsonsecurity.com/2012/08/java-exploit-leveraged-two-flaws/">http://krebsonsecurity.com/2012/08/java-exploit-leveraged-two-flaws/</a><br></div>
<div class="gmail_extra"><br></div><div class="gmail_extra"><a href="http://www.oit.umass.edu/news/2013-01-14/serious-java-vulnerability-targets-windows-macintosh-linux-computers-0">http://www.oit.umass.edu/news/2013-01-14/serious-java-vulnerability-targets-windows-macintosh-linux-computers-0</a><br>
</div><div class="gmail_extra"><br></div><div class="gmail_extra">I don't understand what exact proof you are looking for. Could it be that these security breaches are ALL essentially violations of the "sandbox" concept? Since the fundamental idea is that Java should run the same way on all platforms, if it's a security problem on one, I might assume it could be on another platform, too.</div>
<div class="gmail_extra"><br></div><div class="gmail_extra">My impression is that the general attitude in recent years has been to mistrust Java security because there have been so many alarms. You may very well be OK for your application.</div>
<div class="gmail_extra"><br></div></div>