Falla in Java, utenti Web a rischio

Sun ha di recente corretto una grave vulnerabilitÓ contenuta all'interno del proprio plug-in Java, lo stesso che si trova incluso in buona parte dei browser in circolazione. Vulnerabili sia gli utenti di Windows che quelli di Linux

Roma - I browser web sono nuovamente al centro di un serio problema di sicurezza, ma questa volta i loro creatori sembrano esenti da responsabilitÓ: la falla Ŕ infatti presente nel diffusissimo plug-in Java di Sun, ed in particolare nella versione contenuta in tutte le release (tranne le pi¨ recenti) 1.3.x e 1.4.x del Java Runtime Environment (JRE) e del Java SDK (JSDK).

Scoperta dal finlandese Jouko Pynnonen lo scorso giugno, e corretta da Sun alcune settimane fa, i dettagli della vulnerabilitÓ sono divenuti di pubblico dominio solo negli scorsi giorni. Secondo un advisory pubblicato dalla societÓ di sicurezza iDefense, la debolezza potrebbe essere sfruttata da un malintenzionato per compromettere il computer di un utente. A correre questo rischio sono gli utenti di tutti i browser che supportano Java, inclusi Internet Explorer, Mozilla/Firefox e Opera, questo indipendentemente dalla piattaforma (Windows o Unix/Linux).

Sun ha spiegato che alcune versioni del plug-in Java "non riducono opportunamente l'accesso fra Javascript e le applet Java durante il trasferimento di dati, consentendo ad un aggressore di caricare classi pericolose ed eseguire del codice a propria scelta".
Normalmente le applet, ossia i piccoli programmi per il Web scritti in Java, girano all'interno di un ambiente delimitato, chiamato "sandbox", che impedisce loro di compiere azioni potenzialmente pericolose: ad esempio, scrivere o modificare file sul disco fisso. La vulnerabilitÓ scoperta da Pynnonen potrebbe invece consentire ad un sito Web malevolo di aggirare tale protezione e far girare sul computer della vittima applet capaci di scrivere e leggere file con gli stessi privilegi dell'utente locale.

Secunia ha valutato il grado di rischio legato a questa vulnerabilitÓ come "Highly critical".

Il grande pericolo, secondo gli esperti di sicurezza, Ŕ dato dal fatto che la falla pu˛ essere sfruttata senza l'intervento dell'utente, caratteristica che ne fa un possibile mezzo di diffusione per worm e altro genere di codici malevoli. Sun ha tuttavia sottolineato come, fino ad oggi, la tecnologia Java non abbia offerto alcun appiglio per i creatori di virus.

Sun ha corretto il problema a partire dalle versioni 1.4.2_06 e 1.3.1_13 del JRE e del JSDK per Solaris, Windows e Linux: i pacchetti sono scaricabili da qui. La societÓ ha precisato che la nuova Java 2 Platform, Standard Edition (J2SE) 5.0, rilasciata alla fine di ottobre, contiene una versione corretta del plug-in Java.
TAG: sicurezza
72 Commenti alla Notizia Falla in Java, utenti Web a rischio
Ordina
  • Tecnologia nuova sviluppata in fretta dalla M$ per contrastare java che cosa possiamo aspettarci?
    Che i tool di sviluppo costino cari? bhe questo sicuramenteA bocca apertaA bocca apertaA bocca aperta il resto non si saA bocca aperta

    non+autenticato

  • - Scritto da: Anonimo
    > Tecnologia nuova sviluppata in fretta dalla
    > M$ per contrastare java che cosa possiamo
    > aspettarci?
    > Che i tool di sviluppo costino cari? bhe
    > questo sicuramenteA bocca apertaA bocca apertaA bocca aperta il resto non si
    > saA bocca aperta

    http://www.mono-project.com/about/index.html
    non+autenticato
  • Dicevo, e intanto l'agenzia delle entrate nel stio fisco on line http://fisconline.agenziaentrate.it/ obbliga ad utilizzare la versione la versione jre 1.1.8.
    Tra l'altro i programmi richiedono java e non sono multipiattaforma, poichè esistono eseguibili per windows, ambiente MAC formato BinHex e formato MacBinary.

    ==================================
    Modificato dall'autore il 25/11/2004 9.39.28


  • - Scritto da: Blackfox
    > Dicevo, e intanto l'agenzia delle entrate
    > nel stio fisco on line
    > fisconline.agenziaentrate.it / obbliga ad
    > utilizzare la versione la versione jre
    > 1.1.8.
    > Tra l'altro i programmi richiedono java e
    > non sono multipiattaforma, poichè
    > esistono eseguibili per windows, ambiente
    > MAC formato BinHex e formato MacBinary.
    >

    e' sarevve colpa della tecnologia Java ? forse le persone che hanno sviluppato il sistema non sono proprio dei geni visto che esistono fior fiore di soluzioni basate su Java che funzionano su qualunque piattaforma
    non+autenticato

  • - Scritto da: Blackfox

    > Tra l'altro i programmi richiedono java e
    > non sono multipiattaforma, poichè
    > esistono eseguibili per windows, ambiente
    > MAC formato BinHex e formato MacBinary.

    guarda che BinHex e MacBinary NON sono formati di eseguibile diversi, sono solo un modo per comprimerli e trasmetterli che in genere si usa su Mac per non perdere gli attributi estesi, che altrimenti andrebbero reimpostati dall'utente una volta scompattati, se si usasse il formato ZIP, che non li supporta. Se avessero usato un installer decente ( tipo ZeroG ), potevano fare una versione unica che si installa su tutte le piattaforme.

    non+autenticato
  • > Se avessero usato un
    > installer decente ( tipo ZeroG ), potevano
    > fare una versione unica che si installa su
    > tutte le piattaforme.

    Praticamente mi stai dicendo che per installare sotto Windows, ad esempio, dovrei scaricarmi un pacchetto piu' pesante che comprende anche l'eseguibile per Mac?

    FICO!Occhiolino
  • Ragazzi, la risposta e' semplice: si vuole scoraggiare l'utente comune per indurlo a rivolgersi al commercialista. Niente di nuovo.
    non+autenticato

  • - Scritto da: Anonimo
    > Ragazzi, la risposta e' semplice: si vuole
    > scoraggiare l'utente comune per indurlo a
    > rivolgersi al commercialista. Niente di
    > nuovo.

    Perchè il commercialista è un marziano, e non si spacca le palle anche lui con tutti 'sti aggiornamenti, fix ecc.?
    non+autenticato
  • Se ti riferisci al programma per la compilazione dell'F24 io lo uso sotto GNU/Linux dopo averlo "estratto" ("installato") con Wine. La limitazione a Java 1.1.8 vale solo per il programma di installazione: non installa se non lo trova. Il programma in se' e per se' funziona benissimo con Java 1.4.x.
  • Non ho ancora capito se il tipo l'ha venduto o no il bug a iDefense...
    Il primo advisory e' di iDefense e veniva citato Jouko tra i Credits poco prima di quell'orribile cosa del "Get Paid" (praticamente comprano le vulnerabilita' per prendersene i meriti) ma il giorno dopo e' stato rilasciato un'advisory anche da Jouko.
    non+autenticato

  • Java e' ormai diventato un dinosauro inutile
    e pieno di buchi. Mentre .NET e' gia' anni luce
    avanti, e non fa che migliorare.
    Perche' la gente continua ad usare Java allora?
    Non perche' ha paura del monopolio MS,
    visto che neanche Java e' Open Source, ma
    perche' non si informa.
    Informatevi:
    http://www.gotdotnet.com/team/clr/about_security.a...
    non+autenticato

  • - Scritto da: Anonimo
    >
    > Java e' ormai diventato un dinosauro inutile
    > e pieno di buchi. Mentre .NET e' gia' anni
    > luce
    > avanti, e non fa che migliorare.
    > Perche' la gente continua ad usare Java
    > allora?
    > Non perche' ha paura del monopolio MS,
    > visto che neanche Java e' Open Source, ma
    > perche' non si informa.
    > Informatevi:
    >
    > www.gotdotnet.com/team/clr/about_security.asp

    Solo dio sa come faccia un framework che gira su un sistema insicuro (winzozz) a essere sicuro!...
    Vai a trollar altrove!
    non+autenticato

  • > Solo dio sa come faccia un framework che
    > gira su un sistema insicuro (winzozz) a
    > essere sicuro!...
    > Vai a trollar altrove!

    Quoto e condivido appieno.
    Ma sai, il mondo è pieno di babbei che si fanno incantare da Wanna Marchi......
    non+autenticato

  • - Scritto da: Anonimo
    >
    > > Solo dio sa come faccia un framework che
    > > gira su un sistema insicuro (winzozz) a
    > > essere sicuro!...
    > > Vai a trollar altrove!
    >
    > Quoto e condivido appieno.
    > Ma sai, il mondo è pieno di babbei
    > che si fanno incantare da Wanna Marchi......

    prima di tutto babbeo lo dici a qualche tuo congiunto!
    secondo.. postate qui le prove alle vostre affermazioni.. ovvero che .NET non sia sicuro, grazie!
    Invece di trollare gratuitimente offendendo la gente, rendetevi utili e convinceteci che usare .NET non è cosa buona.. sono molto aperto di mente e non farei fatica a passare ad altri linguaggi, a differenza di altri come te magari che parlano per sentito dire e con i paraocchi davanti.

    per esperienza personale non ho mai avuto problemi si sicurezza utilizzando il framework di microsoft, nè sul web nè in programmi locali. La mia scelta di usare .NET è data dalla sua capacità di velocizzare il mio lavoro, e non mi dispiace spendere soldi se poi riesco a consegnare i miei lavori sempre nei tempi previsti e a volte anche in anticipo.

    Ho provato con java tempo fa ma non ho avuto gli stessi risultati, forse era anche l'IDE che sbagliavo.. non mi ricordo il nome ora.. ma era gratuito.

    Aspetto risposte senza offese per favore
    non+autenticato

  • - Scritto da: Anonimo

    > secondo.. postate qui le prove alle vostre
    > affermazioni.. ovvero che .NET non sia
    > sicuro, grazie!

    A rigor di logica dovrebbe essere il contrario: Sei tu che devi dimostrare che .NET e' piu' sicuro (vedi subject) !

    > Ho provato con java tempo fa ma non ho avuto
    > gli stessi risultati, forse era anche l'IDE
    > che sbagliavo.. non mi ricordo il nome ora..
    > ma era gratuito.

    Eclipse ?
    non+autenticato

  • - Scritto da: Anonimo
    > A rigor di logica dovrebbe essere il
    > contrario: Sei tu che devi dimostrare che
    > .NET e' piu' sicuro (vedi subject) !

    Ma lui l'ha già fatto citando una fonte, tu non hai ribattuto perciò A RIGOR DI LOGICA per ora sta vincendo lui
    non+autenticato

  • > Ma lui l'ha già fatto citando una
    > fonte

    un po' autoreferenziale come fonte non trovi?
    non+autenticato

  • - Scritto da: Anonimo

    > > A rigor di logica dovrebbe essere il
    > > contrario: Sei tu che devi dimostrare
    > che
    > > .NET e' piu' sicuro (vedi subject) !
    >
    > Ma lui l'ha già fatto citando una
    > fonte, tu non hai ribattuto perciò A
    > RIGOR DI LOGICA per ora sta vincendo lui

    La parataA bocca aperta !

    http://www.jelovic.com/dotnetbugs/
    non+autenticato
  • personalmente ho provato sia Visual Studio NET che Eclipse e devo dire che Eclipse e' un'altro pianeta.

    Con l'ultima release di Visual Studio NET la MS ha creato un strumento monumentale e poco pratico, Eclipse puo' essere personalizzato all'inverosimile.

    I tempi di sviluppo con Eclipse sono 1/10 rispetto a Visual Studio NET grazie a tecnologie come XDoclet e creare componenti business da riutilizzare e' un gioco da ragazzi
    non+autenticato

  • - Scritto da: Anonimo

    > Solo dio sa come faccia un framework che
    > gira su un sistema insicuro (winzozz) a
    > essere sicuro!...

    Per analogia allora pure Java nonè sicuro Sorride
    non+autenticato
  • Meno male che avevano tutti appena finito di dire di passare a Firefox che li di problemi.... manco l'ombra!
    non+autenticato


  • - Scritto da: Anonimo
    > Meno male che avevano tutti appena finito di
    > dire di passare a Firefox che li di
    > problemi.... manco l'ombra!

    e quindi ? cosa c'entra firefox ?
    non+autenticato
  • > > Meno male che avevano tutti appena
    > finito di
    > > dire di passare a Firefox che li di
    > > problemi.... manco l'ombra!
    >
    > e quindi ? cosa c'entra firefox ?

    che così pure lui può pupparsi codice
    malevolo
    non+autenticato
  • - Scritto da: Anonimo
    > che così pure lui può pupparsi
    > codice
    > malevolo

    Quale parte di "Java è multipiattaforma" non ti è chiara?
    non+autenticato
  • > Quale parte di "Java è
    > multipiattaforma" non ti è chiara?

    quale parte di Firefox usando anch'esso
    quella piattaforma è vulnerabile quanto
    gli altri browser alla faccia di quanto
    detto e stradetto non ti è chiara?
    non+autenticato
  • - Scritto da: Anonimo
    > quale parte di Firefox usando anch'esso
    > quella piattaforma è vulnerabile
    > quanto
    > gli altri browser alla faccia di quanto
    > detto e stradetto non ti è chiara?

    Ripeto con un "aiutino" alla bonolis, così capisci: quale parte di java multiPIATTAFORMA non capisci?

    PIATTAFORMA, ovvero Java è un mondo a se' che gira per conto suo. Il problema è indipendente dal browser che usi. Le applet sono vere e proprie applicazioni, solo che in teoria non dovrebbero poter toccare il sistema client su cui girano.

    Nel caso non è colpa di IE (così sei contento) nè di qualsiasi altro browser, ma solo della Sun.

    Se è per questo sono usciti anche bug nel real player, e c'è il plugin netscape/mozilla per realplayer, ma mica mi verrai a dire che il problema è nel browser!
    non+autenticato
  • tu de dum...

    quindi di fatto dal punto di vista dell'utente,
    che non capisce un razzo di piattaforme, non
    cambia nulla... magari credeva al miraggio
    del cambio di browser e poi pensa te... per
    problemi di piattaforma si ritrova cmq nei
    guai....

    non te la prendere troppo, sei un bravo figliolo,
    e dopo tutto anche io uso solo Firefox ormai,
    continua pure con la tua crociata
    non+autenticato
  • - Scritto da: Anonimo
    > quindi di fatto dal punto di vista
    > dell'utente,
    > che non capisce un razzo di piattaforme, non
    > cambia nulla... magari credeva al miraggio
    > del cambio di browser e poi pensa te... per
    > problemi di piattaforma si ritrova cmq nei
    > guai....

    Scusa ma hai delle pretese assurdeDeluso

    Tu ti installi il jre, (o la jvm di ms che fa pena) o qualche altro environment java, c'è un bug in java e te la prendi con il browser?

    Java è un componente che tu ti installi a parte, non fa mica parte del browser.

    Chi fa i browser non può farci nulla. Un' applet è una applicazione, ha una particolare natura che la limita per motivi di sicurezza (altrimenti chiunque potrebbe leggere o magari addirittura scrivere files sul tuo sistema). Tu visualizzando una pagina te la scarichi e la visualizzi nel browser.

    Cmq, io non devo fare la "crociata pro-firefox", vorrei solo che le persone dessero più valore alla loro intelligenza. Se non conosci "un razzo di piattaforme", allora non dire è colpa di questo o di quest'altro.

    Se invece vuoi capirci, vedi come funziona Java e capirai che la questione è diversa.

    Bye
    non+autenticato

  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > quindi di fatto dal punto di vista
    > > dell'utente,
    > > che non capisce un razzo di
    > piattaforme, non
    > > cambia nulla... magari credeva al
    > miraggio
    > > del cambio di browser e poi pensa te...
    > per
    > > problemi di piattaforma si ritrova cmq
    > nei
    > > guai....
    >
    > Scusa ma hai delle pretese assurdeDeluso

    Stai parlando con un ignorante, non ci vuole molto a capirlo diamine!:D

    Sentimi, qui si spreca solo fiato, girano con i paraocchi e con il fringuello sempre in canna.:D soprattutto ALien
    non+autenticato


  • - Scritto da: Anonimo
    > - Scritto da: Anonimo
    > > quindi di fatto dal punto di vista
    > > dell'utente,
    > > che non capisce un razzo di
    > piattaforme, non
    > > cambia nulla... magari credeva al
    > miraggio
    > > del cambio di browser e poi pensa te...
    > per
    > > problemi di piattaforma si ritrova cmq
    > nei
    > > guai....
    >
    > Scusa ma hai delle pretese assurdeDeluso
    >
    > Tu ti installi il jre, (o la jvm di ms che
    > fa pena) o qualche altro environment java,
    > c'è un bug in java e te la prendi con
    > il browser?
    >

    Hai perfettamente ragione, ma il suo post ha avuto il merito di evidenziare il punto di vista del'utente medio il quale, in effetti, ha di queste pretese: dopo aver faticosamente recepito l'esistenza, l'installazione e l'utilizzo di un browser alternativo a IE, pretende di essere assolutamente sicuro per l'eternità e di spegnere nuovamente il cervello, usando il computer senza la minima consapevolezza con lo stesso sforzo intellettuale che compie per guardare il Maria De Filippi in Tv.
    Chi ha portato in massa questa devastante mentalità nel mondo dell'informatica? Ringraziamo lui per tutto ciò che ne deriva.
    non+autenticato
  • > Chi ha portato in massa questa devastante
    > mentalità nel mondo dell'informatica?
    > Ringraziamo lui per tutto ciò che ne
    > deriva.

    ovviamente era una mera provocazione genietto
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)