Due falle minacciano gli utenti Java

In alcuni componenti della piattaforma Java, tra cui la macchina virtuale di Sun, sono state scoperte due vulnerabilità di sicurezza abbastanza serie. Già rilasciati due aggiornamenti a J2SE

Roma - Sun ha corretto in alcune sue tecnologie Java, tra cui la diffusissima macchina virtuale Java Runtime Environment (JRE), due vulnerabilità di sicurezza che potrebbero essere utilizzate da un aggressore per compromettere un computer remoto.

Entrambe le falle, che in questo advisory Secunia classifica con il grado di pericolosità highly critical, possono consentire ad un applet di eseguire del codice malevolo: ciò significa che un sito web malintenzionato potrebbe sfruttare i due bug per "sparare" sul computer degli utenti virus, cavalli di Troia o spyware.

Le vulnerabilità interessano Java Web Start 1.x, Java JDK 1.5.x, Java JRE 1.4.x, Java JRE 1.5.x e Sun Java SDK 1.4.x per Windows, Solaris e Linux. Questi componenti fanno tutti parte della piattaforma Java 2 Standard Edition (J2SE) 5.0 e 5.0 Update e le versioni precedenti alla 1.4.2_08.
Sun ha risolto i due problemi di sicurezza con il rilascio di J2SE 5.0 Update 2 e J2SE 1.4.2_08.
TAG: sw
24 Commenti alla Notizia Due falle minacciano gli utenti Java
Ordina
  • > Non sarebbe peggio??? !!!! Deluso Deluso Deluso

    Come mai in windows trovano i "buchi" e in java i falli??Deluso
    non+autenticato
  • - Scritto da: Anonimo
    > Come mai in windows trovano i "buchi" e in java i
    > falli??Deluso

    Perchè l'inculata è insita in qualunque tecnologia?

    In OS/400 si parlava di "Sessioni multimembro", fai un po' tu!Imbarazzato
  • > In OS/400 si parlava di "Sessioni multimembro",
    > fai un po' tu!Imbarazzato
    Ma il file che ha più membri come se la cava? Che se ne fa? Dove li mette?













    ...il buco del geologo!
    ;)
    non+autenticato
  • Che senso ha parlare di vulnerabilità che sono già state patchate da settimane o da mesi?
    Il java sun 1.5 (5.0) update3 è uscito il 29 aprile!!!!!
    non+autenticato
  • E' come dire che nessuna vulnerabilita' di Windows XP SP1 va segnalata perche' non affligge l'SP2.

    La vulnerabilita' va segnalata eccome, perche' chi ha l'UPDATE 2 e la funzione aggiornamenti automatici attivi, NON viene aggiornato all'UPDATE 3. NEANCHE se fa un controllo manuale dell'aggiornamento.

    Quindi dell'UPDATE 3 nessuno sa niente e nessuno viene stimolato a scaricarlo se non quando scopre che la propria versione ha delle vulnerabilita'.

  • - Scritto da: an0nim0
    > E' come dire che nessuna vulnerabilita' di
    > Windows XP SP1 va segnalata perche' non affligge
    > l'SP2.

    infatti non ha senso, visto che c'è già il SP2 ed è pure gratis e non ci sono motivi per non doverlo installare.
    Già ci sono le vulnerabilità per le nuove versioni e dovete segnalare pure quelle per le vecchie? Fate prima a segnalare tutte quelle che vanno dal DOS passando per Windows 3.1 proseguendo per Windows 98/ME fino a NT/2000/XP, XPSP1, XPS2

    > La vulnerabilita' va segnalata eccome, perche'
    > chi ha l'UPDATE 2 e la funzione aggiornamenti
    > automatici attivi, NON viene aggiornato
    > all'UPDATE 3. NEANCHE se fa un controllo manuale
    > dell'aggiornamento.

    l'update3 se non sbaglio era già stato segnalato su quasi tutti i siti e pure su punto informatico
    non+autenticato

  • - Scritto da: an0nim0
    > E' come dire che nessuna vulnerabilita' di
    > Windows XP SP1 va segnalata perche' non affligge
    > l'SP2.

    infatti il SP2 è fatto apposta per coprire bug, quindi se la gente non lo mette cavoli loro!
    non+autenticato
  • Redazione, forse la notizia andava pubblicata un po' prima... grazie comunque per la segnalazione!Sorride
    non+autenticato
  • Gli advisory di Sun sono del giorno 13 e quello di Secunia del giorno 14 (ieri), direi quindi che più presto di cosi' non potevamo proprio fare! Occhiolino Che poi il problema sia stato corretto da patch già rilasciate, quello è un altro discorso... Occhiolino
    Ciau!

    - Scritto da: Anonimo
    > Redazione, forse la notizia andava pubblicata un
    > po' prima... grazie comunque per la segnalazione!
    >Sorride

  • - Scritto da: La redazione
    > Gli advisory di Sun sono del giorno 13 e quello
    > di Secunia del giorno 14 (ieri), direi quindi che
    > più presto di cosi' non potevamo proprio fare!
    > Occhiolino Che poi il problema sia stato corretto da
    > patch già rilasciate, quello è un altro
    > discorso... Occhiolino
    > Ciau!

    si ma se 1 mese fa è uscita una nuova versione di java sun 5 update3 che copre vulnerabilità riscontrate 1 mese fa e oggi escono nuove vulnerabilità che affliggono solo le vecchie versioni, non ha molto senso dare l'allarme.
    non+autenticato
  • Complimenti per la tempestivita'!
    non+autenticato

  • - Scritto da: Anonimo
    > Complimenti per la tempestivita'!

    non capisco nemmeno io, il buco era noto da tempo tant'e' che scaricai l'update 03 appena l'avevo saputo, ed era parecchio tempo fa.

    il 03 pero' non era ancora facilmente raggiungibile allora, bisognava girare sulle aree di download per i developer o trovare il link diretto pubblicato in giro.

    non ricordo nemmeno dove ho trovato notizie del buco.

    non+autenticato
  • Ma se è uscito JRE 5.0 Update 3 quasi un mese fa?! Mi sto confondendo io per caso?! E, in ogni caso, questo è a rischio?

    ==================================
    Modificato dall'autore il 15/06/2005 0.06.49
  • io sto giusto vedendo adesso e mi segna 3Deluso
    non+autenticato
  • Leggendo il report di Secunia si trova:

    The vulnerability affects J2SE releases 5.0 and 5.0 Update 1 for Windows, Solaris and Linux, and J2SE 1.4.2_07 and prior 1.4.2 releases for Windows, Solaris and Linux.

    Per risolvere il problema bisogna:

    Solution:
    Update to J2SE 5.0 Update 2 or 1.4.2_08 for Windows, Solaris, and Linux.

    Chiaramente quelli che hanno l'update 3 sono già a posto da un pezzo: sempre stando a Secunia, non ci sono falle critiche conosciute nelle versioni correnti.
    non+autenticato
  • Mah, anch'io non ci capisco piu` nulla.
    Java e` troppo grosso e grasso e c'era da aspettarsela una brava miriade di falle... il trucco e` lasciarlo praticamente sempre disattivato salvo i contenuti siano abbstanza trustworthy e si sappia cosa si sta andando a fargli compilare e eseguire. Peccato, l'idea era buona ma la macchina virtuale dovrebbe essere decisamente piu` snella e rinunciare all'eccesso di featurism...
    non+autenticato
  • ma vaaaaaaff...

    dai riscrivi java tu e poi dicci dove scaricarlo
    sei pessssimo
    non+autenticato
  • - Scritto da: Anonimo
    > ma vaaaaaaff...
    >
    > dai riscrivi java tu e poi dicci dove scaricarlo
    > sei pessssimo

    Ehm... ok, era un'opinione, in parte sentita e in parte sarcastica (grosso & grasso), pero` a dire il vero hai toccato un argomento che... be', e` un po' improbabile, ma succede: insomma io Java l'ho riscritto davvero. Certo, non quello di Sun, ma ho scritto una cosa che potrebbe essere considerata un java a basso livello. Si chiama L.in.oleum, e se lo cito un'altra volta mi buttano giustamente fuori dalla community per plugging... ma ormai... http://0x44.com/linoleum.html

    Lo sto ancora aggiustando: e` prevista una versione riveduta e corretta a breve. L'attuale e` un po' rappezzata e incoerente, e il compilatore e` una versione ormai antica (addirittura scritto in C++ per MSDOS). Fra qualche tempo sara` matura la 1.14.

    La VM vecchia era di 18 Kb, e considerando la variante piu` complessa fino a 21.5 Kb. La VM attuale e` sui 31 Kb, ma si e` ingrandita molto soprattutto perche` contiene svariate versioni dell'icona dell'applet che rappresenta.
    non+autenticato
  • beh, io sono un java-fanA bocca aperta ma il fatto di lasciarlo disattivato finché non si visitano siti fidati non mi sembra proprio un cattivo consiglio, anzi.

    cmq nessun sw è perfettamente esente da bug, quindi inutile criticare una piattaforma solo perché è stata ampliata
  • - Scritto da: Avion
    > beh, io sono un java-fanA bocca aperta ma il fatto di
    > lasciarlo disattivato finché non si visitano siti
    > fidati non mi sembra proprio un cattivo
    > consiglio, anzi.

    Oh, be', io sono piu` un generico cross-platform fan.
    L'idea di java del bytecode e` veramente buona, e` l'implementazione che quando diventa cicciottella...

    > cmq nessun sw è perfettamente esente da bug,
    > quindi inutile criticare una piattaforma solo
    > perché è stata ampliata

    ...infatti, devi considerare le attenuati generiche: io sono retrogrado & nostalgico. Alla mia veneranda eta` di 29 anni faccio fatica ad adattarmi, figuriamoci in futuro...Deluso
    non+autenticato
  • il discorso delle features non c'entra na cippa con le prestazioni... se sei un programmatore sai che è possibile caricare le librerie che ti servono solo quando ti servono e non sempre -.-

    il fatto che anche java ogni tanto ha delle falle non mi stupisce più di tanto, in quanto nessun software è perfetto. Ma da qui a dire che bisogna disabilitare java e usarlo solo in siti sicuri ce ne passa. Ti ricordo che ogni volta che si vogliono concedere privilegi maggiori per un applet (tipo scrivere sul disco) esce un riquadro enorme con minacce di morte in stile microsoft se si clicka si
    non+autenticato

  • - Scritto da: Alex¸tg
    > - Scritto da: Anonimo
    > > ma vaaaaaaff...
    > >
    > > dai riscrivi java tu e poi dicci dove scaricarlo
    > > sei pessssimo
    >
    > Ehm... ok, era un'opinione, in parte sentita e in
    > parte sarcastica (grosso & grasso), pero` a dire
    > il vero hai toccato un argomento che... be', e`
    > un po' improbabile, ma succede: insomma io Java
    > l'ho riscritto davvero. Certo, non quello di Sun,
    > ma ho scritto una cosa che potrebbe essere
    > considerata un java a basso livello. Si chiama
    > L.in.oleum, e se lo cito un'altra volta mi
    > buttano giustamente fuori dalla community per
    > plugging... ma ormai...
    > http://0x44.com/linoleum.html
    >
    > Lo sto ancora aggiustando: e` prevista una
    > versione riveduta e corretta a breve. L'attuale
    > e` un po' rappezzata e incoerente, e il
    > compilatore e` una versione ormai antica
    > (addirittura scritto in C++ per MSDOS). Fra
    > qualche tempo sara` matura la 1.14.
    >
    > La VM vecchia era di 18 Kb, e considerando la
    > variante piu` complessa fino a 21.5 Kb. La VM
    > attuale e` sui 31 Kb, ma si e` ingrandita molto
    > soprattutto perche` contiene svariate versioni
    > dell'icona dell'applet che rappresenta.

    Hai però omesso di dire che il tuo linguaggio è molto di basso livello (quasi assembly)..
    " it's a form of cross-platform assembly language"
    Un linguaggio di alto livello richiede istruzioni e casi d'uso più corposi, concentrando il programmatore (cosa non da poco) sul problema del progetto e non su puntatori,overflow, ecc... In questo java è un linguaggio innovativo.
    Senza remore (anzi, complimenti per il progetto!!Occhiolino ), il tuo linguaggio non può essere paragonato a java.
    non+autenticato

  • - Scritto da: Anonimo

    > Hai però omesso di dire che il tuo linguaggio è
    > molto di basso livello (quasi assembly)..

    No, veramente non credevo di averlo omesso: al limite avevo omesso "molto"... io d'altronde il basso livello lo considero l'assembly, il Forth al limite... il C hmmm... diciamo medioSorride

    > - Scritto da: Alex¸tg
    > > ma ho scritto una cosa che potrebbe essere
    > > considerata un java a basso livello.

    > Un linguaggio di alto livello richiede istruzioni
    > e casi d'uso più corposi, concentrando il
    > programmatore (cosa non da poco) sul problema del
    > progetto e non su puntatori,overflow, ecc... In
    > questo java è un linguaggio innovativo.

    E` innovativo nel suo complesso: i linguaggi ad alto livello erano gia` stati inventati, ma in ambito system-specific.

    > Senza remore (anzi, complimenti per il progetto!!
    >Occhiolino ), il tuo linguaggio non può essere paragonato
    > a java.

    Oh, grazie... non ho remore, davvero.
    E... be', e` un ambiente cross-platform con una VM che simula un sistema ideale che non esiste e lo sovrappone al sistema ospite. In questo mi pare ancora paragonabile, anche se il paragone l'avevo fatto, piu` che per classificare il linguaggio, per rendere una rapida idea con poche parole a chi leggesse quella pagina.
    non+autenticato