Falla in Java, utenti Web a rischio

Falla in Java, utenti Web a rischio

Sun ha di recente corretto una grave vulnerabilità contenuta all'interno del proprio plug-in Java, lo stesso che si trova incluso in buona parte dei browser in circolazione. Vulnerabili sia gli utenti di Windows che quelli di Linux
Sun ha di recente corretto una grave vulnerabilità contenuta all'interno del proprio plug-in Java, lo stesso che si trova incluso in buona parte dei browser in circolazione. Vulnerabili sia gli utenti di Windows che quelli di Linux


Roma – I browser web sono nuovamente al centro di un serio problema di sicurezza, ma questa volta i loro creatori sembrano esenti da responsabilità: la falla è infatti presente nel diffusissimo plug-in Java di Sun , ed in particolare nella versione contenuta in tutte le release (tranne le più recenti) 1.3.x e 1.4.x del Java Runtime Environment (JRE) e del Java SDK (JSDK).

Scoperta dal finlandese Jouko Pynnonen lo scorso giugno, e corretta da Sun alcune settimane fa, i dettagli della vulnerabilità sono divenuti di pubblico dominio solo negli scorsi giorni. Secondo un advisory pubblicato dalla società di sicurezza iDefense, la debolezza potrebbe essere sfruttata da un malintenzionato per compromettere il computer di un utente. A correre questo rischio sono gli utenti di tutti i browser che supportano Java, inclusi Internet Explorer, Mozilla/Firefox e Opera, questo indipendentemente dalla piattaforma (Windows o Unix/Linux).

Sun ha spiegato che alcune versioni del plug-in Java “non riducono opportunamente l’accesso fra Javascript e le applet Java durante il trasferimento di dati, consentendo ad un aggressore di caricare classi pericolose ed eseguire del codice a propria scelta”.

Normalmente le applet, ossia i piccoli programmi per il Web scritti in Java, girano all’interno di un ambiente delimitato, chiamato “sandbox”, che impedisce loro di compiere azioni potenzialmente pericolose: ad esempio, scrivere o modificare file sul disco fisso. La vulnerabilità scoperta da Pynnonen potrebbe invece consentire ad un sito Web malevolo di aggirare tale protezione e far girare sul computer della vittima applet capaci di scrivere e leggere file con gli stessi privilegi dell’utente locale.

Secunia ha valutato il grado di rischio legato a questa vulnerabilità come “Highly critical”.

Il grande pericolo, secondo gli esperti di sicurezza, è dato dal fatto che la falla può essere sfruttata senza l’intervento dell’utente, caratteristica che ne fa un possibile mezzo di diffusione per worm e altro genere di codici malevoli. Sun ha tuttavia sottolineato come, fino ad oggi, la tecnologia Java non abbia offerto alcun appiglio per i creatori di virus.

Sun ha corretto il problema a partire dalle versioni 1.4.2_06 e 1.3.1_13 del JRE e del JSDK per Solaris, Windows e Linux: i pacchetti sono scaricabili da qui . La società ha precisato che la nuova Java 2 Platform, Standard Edition (J2SE) 5.0, rilasciata alla fine di ottobre , contiene una versione corretta del plug-in Java.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
25 nov 2004
Link copiato negli appunti