Dan si dlouhodobě plete javu a java applety či pluginy do prohlížečů, jsou to dvě rozdílné věci. Runtime javy je na úrovni .NET či na linuxu možná Qt. Je to jak říct, odstraňte glibc, používají to také viry.
Java runtime je potřebná pro řadu aplikací a sama o sobě je bezpečná (vždyť na tom běží nemalá spousta serverů a aplikací, bez javy bychom si třeba vůbec nezavolali, operátoři nad tím mají podstatnou část infrastruktury).
"Opravám Spectre se nedaří, Microsoft musel jednu z nich stáhnout, protože způsobovala nestabilitu a restarty. Oprava týkající se CVE-2017–5715 tak byla o posledním lednovém víkendu narychlo stažena."
Myslím že to je nepřesná interpretace zdrojového textu. Microsoft pouze vydal aktualizaci, která je dostupná jen ve WU katalogu ( a není tedy dostupná přes Windows Update či WSUS) a jenž umožňuje po instalaci přes regedit opravu v registru vypnout.
Pokud vím MS v poslední době žádnou aktualizaci nestáhl - to se děje jen zřídka.
Zdroj např: https://www.ghacks.net/2018/01/29/windows-update-kb4078130-deactivates-spectre-patch/
Zajímalo by mě proč tato pravidelná rubrika má sekci "SOCIÁLNÍ SÍTĚ"? Když to shrnu, tak vidím v úvodní sekci zmiňován Facebook, v sekci "TELEgraficky" je Facebook zmiňován dvakrát, v sekci "WEBDESIGN, INTERNET" je zase Facebook zmiňován dvakrát, v sekci "MARKETING A KOMUNIKACE" opět 2x Facebook a v sekci "BEZPEČNOST, SOUKROMÍ, PRÁVO" je teda Facebook zmiňován jen jednou. V samotné sekci "SOCIÁLNÍ SÍTĚ" je zmiňován pouze Twitter a jednou Instagram.
Skoro to vypadá jako že Facebook už přerostl ze sociální sítě všude jinde. Tento trend pozoruji na Lupě už nějaký ten čas.
No, víte, v podstatě přerostl. Má 2 miliardy aktivních měsíčních uživatelů na celém světě, silně ovlivňuje, jaké informace se k lidem dostanou, jak funguje online marketing, jak se mění webdesign, jak se na internetu zachází s našimi osobními údaji, a tak dále a tak dále. A tohle všechno se týká i lidí, kteří Facebook nepoužívají a nemají na něm účet.
Bude to ještě složitější. JRE z hlediska bezpečnosti myslím nelze srovnávat s .NET, protože zatímco MSFT poctivě patchuje .NET2, 3, 3.5 a 4, 4.5-7 a .NET core, Oracle (asi z nedostatku peněz) patchuje jen nejnovější verzi, aplikace závislé na starších verzích mají prostě smůlu. Navíc do nedávna staré JRE 6, 7, 8 vesele nechávali na počítači side-by side i po instalaci novější platformy bez toho, že by si toho byl BFU vědom... o patchování nějakých televizí nebo jiných "věcí" s JRE v embedded provedení nemůže být ani řeči, tam se .NET nerozšířil, tak mu problém odpadá tak nějak přirozeně.
Konkretní CVE nemá smysl řešit, ty mají všechny platformy...
Jen bych doplnil že jako problém se ukazuje i princip C++ redistributable kdy jsou programy distribuovány s nějakou verzí, která se později ukáže jako zranitelná.. více třeba v serii článků zde
https://borncity.com/win/2017/12/21/the-problem-with-c-redists-3rd-party-security-patches-iii/