Sun distribuisce cerottoni per Java

Sette vulnerabilità impensieriscono l'azienda del Sole che ora vi pone rimedio: in alcuni casi si tratta di falle gravi. I dettagli

Santa Clara (USA) - Sun ha corretto sette vulnerabilità di sicurezza nelle versioni 1.5.x e 1.4.x e 1.3.x del Java Runtime Environment, il software che include la macchina virtuale necessaria per far girare le applet e le applicazioni Java.

Cinque delle sette falle sono state classificate da FrSIRT della massima gravità, e questo perché potrebbero essere sfruttate da remoto per bypassare le restrizioni di sicurezza e, in certi casi, prendere il pieno controllo del sistema vulnerabile.

Due debolezze, descritte in questo advisory ufficiale, sono relative alla cosiddetta serialization, e potrebbero consentire ad un aggressore di leggere, scrivere o eseguire dei file a propria scelta inducendo l'utente a visitare una pagina web contenente una applet maligna.
Le altre falle "critiche", descritte qui, sono causate dalla non corretta gestione di immagini di grandi dimensioni, di array malformati e di valori negativi: in tutti e tre i casi un cracker potrebbe essere in grado di eseguire del codice a sua scelta inducendo l'utente a visitare una certa pagina web.

Infine, le due vulnerabilità meno gravi, giudicate di rischio moderato, potrebbero rivelare a terzi informazioni personali.

I problemi sono stati corretti da Sun con il rilascio di JDK/JRE 5.0 Upgrade 8, SDK/JRE 1.4.2_13 e SDK/JRE 1.3.1_19. In alternativa, gli utenti possono aggiornare JDK e JRE alla nuova versione 6, scaricabile da questa pagina.
20 Commenti alla Notizia Sun distribuisce cerottoni per Java
Ordina
  • Ma possibile che in qualsiasi tipo di argomento si va a filire sempre con il dire " voi linari" oppure "voi utonti microsoft" .. cioè inquadriamo la situazione no ?? .. Java è un linguaggio molto evoluto rispetto ad altri,un linguaggio che si integra sia nel web che nella costruzione di programmi solidi che si interfacciano con i vari DB in particolare mysql .. ogni linguaggio ha la sua utilità. per alcuni applicativi è meglio il C e per altro il java .. altrimenti sarebbe come dire.. " la testa è meglio della gamba perchè ha il cervello" .. ma ognuno dei due ha una sua unica particolarità ed utilità. Io per esempio programmo sia in C++ che in java.. a livello aziendale vedo che richiedono il java rispetto al C .. ma magari perchè vogliono un certo tipo di linguaggio rispetto ad altri.. se c'era da programamre un chip di una stampante sicuramente non ichiedevano il Java!
    non+autenticato
  • L'ultima versione del Runtime Java 1.5.x e' la 10
    non+autenticato
  • e allora?

    guarda che nel mondo aziendale e anche nel privato non tutti si aggiornano la JVM ogni mese come forse fai tu.
    non+autenticato

  • - Scritto da:
    > e allora?
    >
    > guarda che nel mondo aziendale e anche nel
    > privato non tutti si aggiornano la JVM ogni mese
    > come forse fai
    > tu.

    sicuro? di default sono attivi gli aggiornamenti automatici e quindi tutti in questo momento sono aggiornati all'ultima.
    non+autenticato
  • - Scritto da:

    > guarda che nel mondo aziendale e anche nel
    > privato non tutti si aggiornano la JVM ogni mese
    > come forse fai
    > tu.

    Il concetto e` un altro. Si data importanza ad una notizia di qualcosa che (se i termini della notizia rimangono tali) e` gia` stato corretto da tempo

    Enrico
    non+autenticato

  • - Scritto da:
    > e allora?
    >
    > guarda che nel mondo aziendale e anche nel
    > privato non tutti si aggiornano la JVM ogni mese
    > come forse fai
    > tu.

    Io non sapevo nemmeno che erano uscite la 7 8 e 9.
  • > Io non sapevo nemmeno che erano uscite la 7 8 e 9.

    neanche io, e nemmeno dell'aggiornamento automatico.
    non+autenticato
  • altro che rivoluzione, codice ottimizzato e liberta' di utilizzo...fatto sta che se non esistesse sun, le patch di java non esisterebbero.

    java e' vincente perche' c'e' sun che l'ha coltivata....i linari sono solo buoni a fare confusione

    In lacrimeA bocca stortaTristePerplessoDelusoSorpresaAnonimoAnonimoAnonimoAnonimoAnonimo
    non+autenticato
  • java? ma chi vuole linguaggi interpretati? Java e' figo perche' Sun ha imposto questa idea anno dopo anno per dieci anni....risultato? Non bastava il web o qualche applicazione che ne trae indiscutibilmente vantaggio,adesso te lo ficcano pure come prerequisito negli ambienti grafici dei sistemi operativi.Ma stiamo scherzando? Ma la buona programmazione o i linguaggi compilati fanno schifo per caso? Ma ribelliamoci una volta volta per tutte!!! Abbasso Java Abbasso C#   IndiavolatoIndiavolato
    non+autenticato
  • > volta per tutte!!! Abbasso Java Abbasso C#   Indiavolato
    >Indiavolato

    ... e abbasso gli idioti che dopo decenni ancora sono convinti che esista un linguaggio migliore di un altro.
    non+autenticato

  • - Scritto da:
    > > volta per tutte!!! Abbasso Java Abbasso C#   Indiavolato
    > >Indiavolato
    >
    > ... e abbasso gli idioti che dopo decenni ancora
    > sono convinti che esista un linguaggio migliore
    > di un
    > altro.

    Se non te ne fossi accorto,ma forse il desiderio di esprimere una tua opinione discutibile era piu' forte,i linguaggi di programmazione possono essere giudicati a seconda di dove vengono utilizzati.Detesto l'idea di applicare qualche cosa dovunque senza una vera utilita' ed evoluzione.C'e' se vogliamo,un sacco di lavoro da fare intorno le prestazioni e l'affidabilita' dei sistemi informatici e si perde tempo a perseguire fini senza nessuna utilita' pratica.Permetti che ci si possa irritare?
    non+autenticato
  • > Se non te ne fossi accorto,ma forse il desiderio
    > di esprimere una tua opinione discutibile era
    > piu' forte,i linguaggi di programmazione possono
    > essere giudicati a seconda di dove vengono
    > utilizzati.Detesto l'idea di applicare qualche
    > cosa dovunque senza una vera utilita' ed
    > evoluzione.C'e' se vogliamo,un sacco di lavoro da
    > fare intorno le prestazioni e l'affidabilita' dei
    > sistemi informatici e si perde tempo a perseguire
    > fini senza nessuna utilita' pratica.Permetti che
    > ci si possa
    > irritare?

    No. Il linguaggio è un mero mezzo per perseguire l'obiettivo che ti sei preposto, e che sia java, c++, vb, cobol, fortran, assembly, o sa dio cos'altro, non fa la benchè minima differenza. Ancora non ti rendi conto che dire che java è meglio (o peggio) di c++ è come dire che l'inglese è meglio (o peggio) dell'italiano?!? Pensa un po', quando devo scrivere codice normalmente lascio scegliere al committente il linguaggio... l'ultimo che aveva voglia di scherzare mi ha chiesto il codice in lisp. Gli ho dato il codice in lisp. Zero problemi. Tu continua pure ad attaccarti al linguaggio preferito...
    non+autenticato

  • - Scritto da:
    > > Se non te ne fossi accorto,ma forse il desiderio
    > > di esprimere una tua opinione discutibile era
    > > piu' forte,i linguaggi di programmazione possono
    > > essere giudicati a seconda di dove vengono
    > > utilizzati.Detesto l'idea di applicare qualche
    > > cosa dovunque senza una vera utilita' ed
    > > evoluzione.C'e' se vogliamo,un sacco di lavoro
    > da
    > > fare intorno le prestazioni e l'affidabilita'
    > dei
    > > sistemi informatici e si perde tempo a
    > perseguire
    > > fini senza nessuna utilita' pratica.Permetti che
    > > ci si possa
    > > irritare?
    >
    > No. Il linguaggio è un mero mezzo per perseguire
    > l'obiettivo che ti sei preposto, e che sia java,
    > c++, vb, cobol, fortran, assembly, o sa dio
    > cos'altro, non fa la benchè minima differenza.

    Quindi scrivere interfacce grafiche in assembler oppure in C/C++ e' la stessa cosa? Non esistono differenze rilevanti a seconda del porblema che devo risolvere? Differenti linguaggi non hanno differenti peculiarita' che rendono piu' facile e veloce la soluzione di un problema.

    Certo tutti possono arrivare al Polo Nord passando per il Polo Sud ma se permetti da dove mi trovo ora faccio tutt'altra strada!

    > Ancora non ti rendi conto che dire che java è
    > meglio (o peggio) di c++ è come dire che
    > l'inglese è meglio (o peggio) dell'italiano?!?

    No mi rendo conto eccome e credo di avere delle argomentazioni piu' che valide a sostegno della mia tesi.

    > Pensa un po', quando devo scrivere codice
    > normalmente lascio scegliere al committente il
    > linguaggio... l'ultimo che aveva voglia di
    > scherzare mi ha chiesto il codice in lisp. Gli ho
    > dato il codice in lisp. Zero problemi. Tu
    > continua pure ad attaccarti al linguaggio
    > preferito...

    Evidentemente o sei superman oppure hai molto tempo da perdere si ti permetti di agire in questa maniera.Permettimi di dire che e' un sistema affatto particolare.

    non+autenticato

  • Coreggo alcuni errori:

    > Quindi scrivere interfacce grafiche in assembler
    > oppure in C/C++ e' la stessa cosa? Non esistono
    > differenze rilevanti a seconda del problema che
    > devo risolvere? Differenti linguaggi non hanno
    > differenti peculiarita' che rendono piu' facile e
    > veloce la soluzione di un
    > problema?
    >
    > Certo tutti possono arrivare al Polo Nord
    > passando per il Polo Sud ma se permetti da dove
    > mi trovo ora (Italia) faccio tutt'altra
    > strada!
    >
    > > Ancora non ti rendi conto che dire che java è
    > > meglio (o peggio) di c++ è come dire che
    > > l'inglese è meglio (o peggio) dell'italiano?!?
    >
    > No mi rendo conto eccome e credo di avere delle
    > argomentazioni piu' che valide a sostegno della
    > mia
    > tesi.Non metto in discussione il mezzo in se' ma cerco il miglior mezzo per raggiungere uno scopo.
    >
    > > Pensa un po', quando devo scrivere codice
    > > normalmente lascio scegliere al committente il
    > > linguaggio... l'ultimo che aveva voglia di
    > > scherzare mi ha chiesto il codice in lisp. Gli
    > ho
    > > dato il codice in lisp. Zero problemi. Tu
    > > continua pure ad attaccarti al linguaggio
    > > preferito...
    >
    > Evidentemente o sei superman oppure hai molto
    > tempo da perdere se ti permetti di agire in
    > questa maniera.Permettimi di dire che e' un
    > sistema affatto
    > particolare.
    >
    non+autenticato
  • Java non e' assolutamente un linguaggio interpretato, se mai lo e' Java bytecode sulla JVM che e' tutta un'altra cosa. Nello stesso modo in cui esiste un compilatore Java->JVM ne esistono Java->x86. JVM e' solo un'architettura con uno specifico set di istruzioni che pero' non ha esempi di implementazioni in hardware...tutto e' una macchina virtuale, tutte le architetture x86 sono infatti VM, interpretano istruzioni x86 trasformandole in RISC micro ops (uops) allo stesso modo in cui la JVM interpreta bytecode verso x86.
    E' come dire che l'Italiano e' inutile rispetto al Tedesco perche' non ha sufficente grammatica. La principale ragione per cui le persone discriminano un linguaggio rispetto ad un'altro e' perche' conoscono solo quello...e' come se il tuo meccanico facesse tutto con il martello, non mi fiderei a lasciargli la macchina, e soprattutto...non e' un meccanico, e' un battitore di oggetti.
    L'informatica e' una scienza, ci sono teoria della ricorsione, lambda calcolo e macchine di Turing da sapere prima di un linguaggio di programmazione che e' solo un mucchietto di regole di sintassi e semantica...ci sono sviluppatori e scimmie del codice. Posso magari condividere con te che per esempio (senza offesa) le scimmie sono + diffuse tra coloro che sviluppano in VB rispetto a C++.

    saluti
    non+autenticato
  • > Java non e' assolutamente un linguaggio
    > interpretato, se mai lo e' Java bytecode sulla
    > JVM che e' tutta un'altra cosa.
    Non direi che il bytecode è tutta un'altra cosa. Il bytecode è Java ed è interpretato. Secondo il tuo ragionamento gli "interpreti" non esisterebbero perchè anche il C64 trasforma le istruzioni BASIC in bytecode e poi interpreta quelle. Il fatto che gli interpreti siano più o meno utili o efficienti dei compilatori è una questione di usi e modi. Dire che gli uni o gli altri sono inutili denota ignoranza.

    > Nello stesso
    > modo in cui esiste un compilatore Java->JVM ne
    > esistono Java->x86. JVM e' solo un'architettura
    > con uno specifico set di istruzioni che pero' non
    > ha esempi di implementazioni in hardware...
    Beh, anche per il BASIC del C64 esistono dei compilatori in linguaggio macchina ma sono delle variazioni al tema. La caratteristica principale di Java è il fatto di "compilare" su una piattaforma ed eseguire ovunque. Usare un compilatore Java->x86 rende inutile l'intero progetto (a questo punto usavi il C che supporta anche più piattaforme ed è molto più performante).

    > tutto
    > e' una macchina virtuale, tutte le architetture
    > x86 sono infatti VM, interpretano istruzioni x86
    > trasformandole in RISC micro ops (uops) allo
    > stesso modo in cui la JVM interpreta bytecode
    > verso
    > x86.
    Questo è vero ma è anche filosofico.
    La distinzione tra compilatori ed interpreti è netta e ben delineata dalla teoria. In filosofia tutto è possibile.

    > E' come dire che l'Italiano e' inutile rispetto
    > al Tedesco perche' non ha sufficente grammatica.
    Qui sono parzialmente d'accordo. Mi trovi a favore per la nota "ironica" della questione ma ti faccio notare che l'italiano è "inutile" in Germania (vedi nota precedente sulla filosofia).

    > La principale ragione per cui le persone
    > discriminano un linguaggio rispetto ad un'altro
    > e' perche' conoscono solo quello...e' come se il
    > tuo meccanico facesse tutto con il martello, non
    > mi fiderei a lasciargli la macchina, e
    > soprattutto...non e' un meccanico, e' un
    > battitore di
    > oggetti.
    Questo è vero.

    > L'informatica e' una scienza, ci sono teoria
    > della ricorsione, lambda calcolo e macchine di
    > Turing da sapere prima di un linguaggio di
    > programmazione che e' solo un mucchietto di
    > regole di sintassi e semantica...ci sono
    > sviluppatori e scimmie del codice.
    Si ma le scimmie a volte sono anche laureate ed hanno scritto tesi sugli argomenti che citi.

    > Posso magari
    > condividere con te che per esempio (senza offesa)
    > le scimmie sono + diffuse tra coloro che
    > sviluppano in VB rispetto a
    > C++.
    Ora sei tu che fai discriminazioni, predichi bene e razzoli male... sei forse una scimmia?

    > saluti
    Saluti
    non+autenticato

  • - Scritto da:
    > > Java non e' assolutamente un linguaggio
    > > interpretato, se mai lo e' Java bytecode sulla
    > > JVM che e' tutta un'altra cosa.
    > Non direi che il bytecode è tutta un'altra cosa.
    > Il bytecode è Java ed è interpretato. Secondo il

    Java e' solo un linguaggio: un vocabolario, termini, simboli iniziali e produzioni. Il bytecode e' un set di istruzioni completamente diverso

    http://www.cat.nyu.edu/~meyer/jvmref/

    > tuo ragionamento gli "interpreti" non
    > esisterebbero perchè anche il C64 trasforma le
    > istruzioni BASIC in bytecode e poi interpreta
    > quelle. Il fatto che gli interpreti siano più o

    Mai detto che non servono o sono meno utili. Ho solo tentato di far capire che qualsiasi linguaggio puo' essere interpretato o compilato, dipende se la traduzione verso il linguaggio macchina la fai a runtime o prima.


    > meno utili o efficienti dei compilatori è una
    > questione di usi e modi. Dire che gli uni o gli
    > altri sono inutili denota
    > ignoranza.

    forse ci siamo capiti male, perche' non mi pare di averlo mai scritto. Ho solo denotato che Java non e' un linguaggio tipicamente interpretato, infatti le sorgenti le compili (in risposta al post che affermava il contrario).

    >
    > > Nello stesso
    > > modo in cui esiste un compilatore Java->JVM ne
    > > esistono Java->x86. JVM e' solo un'architettura
    > > con uno specifico set di istruzioni che pero'
    > non
    > > ha esempi di implementazioni in hardware...
    > Beh, anche per il BASIC del C64 esistono dei
    > compilatori in linguaggio macchina ma sono delle
    > variazioni al tema. La caratteristica principale
    > di Java è il fatto di "compilare" su una
    > piattaforma ed eseguire ovunque. Usare un
    > compilatore Java->x86 rende inutile l'intero
    > progetto (a questo punto usavi il C che supporta
    > anche più piattaforme ed è molto più
    > performante).

    questo e' perche' Sun vende Java in questo modo, ma nulla ti vieta di usarlo come ti pare, il C per esempio non e' un linguaggio ad oggetti, forse vorresti usare sintassi e semantica di Java perche ti piace, non e' una buona ragione in un paese democratico ? Inoltre l'efficenza e' dettata dal fatto che in java usualmente compili e poi interpreti, ma se compili direttamente nulla di impedisce di ottenere qualcosa di performante.

    >
    > > tutto
    > > e' una macchina virtuale, tutte le architetture
    > > x86 sono infatti VM, interpretano istruzioni x86
    > > trasformandole in RISC micro ops (uops) allo
    > > stesso modo in cui la JVM interpreta bytecode
    > > verso
    > > x86.
    > Questo è vero ma è anche filosofico.
    > La distinzione tra compilatori ed interpreti è
    > netta e ben delineata dalla teoria.

    La differenza e' il "quando" traduci da un linguaggio ad un'altro, se in compile time o run time...tutto il resto deriva dalla prima considerazione.

    In filosofia
    > tutto è
    > possibile.

    Aristotele si sta contorcendo nella tomba, gli hai appena dato del sofista.

    ~(p & ~p)
    e
    p V ~p

    per me valgono in qualsiasi discussione

    >
    > > E' come dire che l'Italiano e' inutile rispetto
    > > al Tedesco perche' non ha sufficente grammatica.
    > Qui sono parzialmente d'accordo. Mi trovi a
    > favore per la nota "ironica" della questione ma
    > ti faccio notare che l'italiano è "inutile" in
    > Germania (vedi nota precedente sulla
    > filosofia).

    infatti e' esattamente quello che ho detto, nessun linguaggio e' inutile, altrimenti nn sarebbe stato inventato. La solfa non sta nel linguaggio che usi, che e' solo una formalita'...magari e' sul formalismo che possiamo discutere.

    >
    > > La principale ragione per cui le persone
    > > discriminano un linguaggio rispetto ad un'altro
    > > e' perche' conoscono solo quello...e' come se il
    > > tuo meccanico facesse tutto con il martello, non
    > > mi fiderei a lasciargli la macchina, e
    > > soprattutto...non e' un meccanico, e' un
    > > battitore di
    > > oggetti.
    > Questo è vero.
    >
    > > L'informatica e' una scienza, ci sono teoria
    > > della ricorsione, lambda calcolo e macchine di
    > > Turing da sapere prima di un linguaggio di
    > > programmazione che e' solo un mucchietto di
    > > regole di sintassi e semantica...ci sono
    > > sviluppatori e scimmie del codice.
    > Si ma le scimmie a volte sono anche laureate ed
    > hanno scritto tesi sugli argomenti che
    > citi.

    forse proprio non ci siamo intesi, ho visto troppe volte nei forum dibattiti tra 2 che la pensano nello stesso modo, ma pensano di pensarla diversamente. La prossima volta sara' meglio usare grammatiche context-free invece dell'Italiano.Sorride

    >
    > > Posso magari
    > > condividere con te che per esempio (senza
    > offesa)
    > > le scimmie sono + diffuse tra coloro che
    > > sviluppano in VB rispetto a
    > > C++.
    > Ora sei tu che fai discriminazioni, predichi bene
    > e razzoli male... sei forse una
    > scimmia?

    sicuramente un primate, ma come sai come razzolo ? hai visto solo come predico.

    >
    > > saluti
    > Saluti

    saluti
    non+autenticato
  • Troll o non troll, una risposta che chiarisca la situazione è d'obbligo.

    (Tu, utente) Leggi nella notizia:

    " [...]
    I problemi sono stati corretti da Sun con il rilascio di JDK/JRE 5.0 Upgrade 8, SDK/JRE 1.4.2_13 e SDK/JRE 1.3.1_19. In alternativa, gli utenti possono aggiornare JDK e JRE alla nuova versione 6, scaricabile da questa pagina. "

    Ovvero: la versione 6 (la prima rilasciata in GPL) è già esente da questi problemi. Sun ha corretto questi bachi _prima_ di rilasciare il progetto in GPL. La comunità open-source troverà e correggerà _altri_ bachi, ancora presenti nel progetto.
    non+autenticato