Rechercher
Fermer ce champ de recherche.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

10/06/2010

Publications

Sécurité de la plate-forme d’exécution Java, limites et propositions d’améliorations

Guillaume Hiet, Frédéric Guihéry, Goulven Guiheux / Amossys

Abstract

Le choix de Java est souvent guidé par la sécurité qu’il est censé apporter. La plate-forme d’exécution Java assure en effet des propriétés de sécurité permettant notamment de se prémunir contre l’exploitation de la mémoire. Toutefois, de nombreuses vulnérabilités publiques concernent Java, notamment sa bibliothèque standard. Qu’en est-il donc de l’apport de Java en termes de sécurité ? Quelles sont ses faiblesses ? Quelles améliorations sont envisageables ?

Cet article tente de répondre à ces questions. Il décrit tout d’abord les différents composants de la plate-forme d’exécution Java en détaillant les mécanismes de sécurité offerts et les propriétés garanties. Il analyse ensuite les différentes faiblesses de ces composants et propose enn des pistes pour l’amélioration de la sécurité de la plate-forme.

Voir les dernières Publications

18 novembre 2021
The current trend is towards automation inside a security operations center (SOC), in particular on the remediation side [...]
26 janvier 2021
Persistent Threats (APT) since only pre-registered and well-characterized attacks can be catched. Some recent systems use unsupervised ML algorithms [...]
15 décembre 2020
Cet article expose la mise en oeuvre du leurrage dans un but de renseignement sur les attaquants (outils et méthodes).
23 novembre 2018
The current trend is towards automation inside a security operations center (SOC), in particular on the remediation side [...]
28 août 2018
Understanding data distributions is one of the most fundamentalresearch topic in data analysis. The literature provides a great dealof powerful statistical learning algorithms [...]
21 août 2017
Anomaly detection in time series has attracted considerable attention due to its importance in many real-world applications including intrusion detection, energy management and finance [...]
22 mai 2017
Le langage C++ s’est imposé comme une référence dans les domaines où la modularité du développement ne doit pas empiéter sur les performances du logiciel final [...]
5 juillet 2016
Verification of software security properties, when conducted at the binary code level, is a difficult and cumbersome task. This paper is focused on [...]
20 juin 2016
Depuis le début du premier semestre 2016, six CVE permettant l’exécution de code arbitraire ont été déposées. Ces CVE ont toutes en commun l’exploitation d’une vulnérabilité encore peu considérée la confusion de type [...]
7 mai 2015
Softwares use cryptographic algorithms to secure their communications and to protect their internal data. However the algorithm choice, its implementation design [...]