Ked ma utocnik roota, tak si nepomozes. Ked ho nema, tak by bolo dobre, aby nemal ani uzivatelsky ucet uzivatela, pod ktorym bezi JVM - teraz neviem, ako vyzera ne-hardened kernel bez dalsich LSM, ale je mozne, ze to dovoluje, aby jeden proces cital/prepisoval pamat ineho procesu toho isteho uzivatela.
Dalej ta proti utoku chrani system alebo JVM. Diera v lubovolnej z tychto 2 veci moze dovolit (napriklad pomocou buffer overflow) prave to, co nechces. To iste moze nastat aj pri chybe v logike aplikacie.
Takze riesenie je - pouzivaj aktualne verzie, ale na 100% bezpecnost sa radsej ani tak nespoliehaj. Ak si chces trochu pomoct, tak nasad napriklad Hardened Gentoo alebo OpenBSD, istotu ale ani tak mat nebudes.