Java vulnerabile alle GIF assassine

Le versioni meno recenti del Java Runtime Environment possono essere bucate da un cracker che utilizzi un'immagine GIF malformata e qualche riga di codice Java

Roma - Nel Java Runtime Environment (JRE), la macchina virtuale di Sun necessaria per far girare le applet e le applicazioni Java, è stata scoperta una vulnerabilità che potrebbe mettere a serio rischio gli utenti del Web.

Il problema deriva da un errore di buffer overflow nel codice della JRE che gestisce le immagini GIF. Attraverso la creazione di una speciale immagine malformata, un aggressore potrebbe riuscire ad eseguire su di un computer remoto una applet Java con i massimi privilegi, inclusi quelli di leggere, scrivere o eseguire file locali. Per riuscire in questo attacco, però, il malintenzionato deve prima convincere la vittima a visitare una pagina web maligna.

Sebbene la falla sia stata scoperta solo di recente, e divulgata pochi giorni fa da Zero Day Initiative, la sua correzione risale allo scorso dicembre: le versioni non vulnerabili di JRE sono la 5.0 Update 10, la 1.4.2_13, e la 1.3.1_19, in alternativa è possibile scaricare la nuova versione 6.
Per verificare quale versione di JRE sia installata nel proprio sistema, è possibile seguire le istruzioni contenute in questo advisory di Sun.

Anche nel caso in cui si disponga della release più recente, gli esperti di sicurezza suggeriscono di eliminare ogni vecchia versione di Java che fosse rimasta nel sistema: per motivi di compatibilità con le vecchie applicazioni, infatti, generalmente gli aggiornamenti a Java non disinstallano le precedenti versioni.

Sulla vulnerabilità è possibile consultare anche gli advisory di FrSIRT e di Secunia: entrambe classificano il problema come "critico".
19 Commenti alla Notizia Java vulnerabile alle GIF assassine
Ordina
  • Non devi neanche leggere l'articolo
    Basta il sottotitolo che ti arriva anche in RSS.

    Ahem: "Le versioni meno recenti del Java Runtime Environment possono essere bucate da un cracker che utilizzi un'immagine GIF malformata e qualche riga di codice Java"


    Perche' do da mangiare ai troll?
  • - Scritto da: mikeUS
    > Non devi neanche leggere l'articolo
    > Basta il sottotitolo che ti arriva anche in RSS.
    >
    > Ahem: "Le versioni meno recenti del Java
    > Runtime Environment possono essere bucate da un
    > cracker che utilizzi un'immagine GIF malformata e
    > qualche riga di codice
    > Java"
    >
    >
    > Perche' do da mangiare ai troll?

    nella speranza di rinsavirne qualcuno, o forse per far notare a chi legge certe cassate quanto siano ridicole..Sorride
    -----------------------------------------------------------
    Modificato dall' autore il 21 gennaio 2007 14.05
    -----------------------------------------------------------
  • attenti che vi prendono a palette-ate a 8bit durante il sonno!
    non+autenticato
  • A me sta odiosamente sugli zebedei.
    195 Mb per metterla sul pc per poi utilizzarla 5 volte all'anno....
    CHE NOIA!

    Sisi, capisco che chi programma (spero) gode ma a me, da utente, non frega nulla della sua incredibile bellezza di codice, del suo avanzato sistema di balblabla, del suo accidennticheneso.

    So solo che per un'utente "medio" e' una tecnologia equiparabile a quello che puo' essere avere un'applett in Cobol...

    E scaricala (un botto!)
    E installa tutto
    Dopo un po' non ti funziona una cosa perche non hai la versione giusta
    Non ci si capisce piu una fava (leggevo i casini di chi usa prog che connettono col fisco)
    Poi si installa il suo minchiotto prog nella traj senza dire nulla.
    Tutte le volte in avvio automatico, sta li inutilizzato per 360 giorni all'anno.
    E le cartelle che crea?
    IO SONO UN PARANOIOCO DELLE CARTELLE ORDINATE!
    Già ti consegnano i portatili preinstallati con una selva di stronxxte sparse ovunque e in avvio automatico (e coi nomi piu deficenti dell'universo! vai a guardare task manager per tenere d'occhio. o preinscreen o son cxxi) ci manca solo java che per capire cosa c'e' in una sua dir devi scavare cartelle fino a 5000 metri sotto C:

    Boh?
    Personalmente, scomparisse, mi farei una birra felice...
    non+autenticato
  • Ognuno è libero di pensare come crede, se java ti disturba/non ti aggrada rispetto la tua opinione.

    Mi permetto di fare presenti due cose però:

    1° la versione "per chi non sviluppa" è la jre, non la jdk...l' ultimissima jre, la versione 6, "pesa" 12.56 MB (versione windows), non sicuramente 100...

    2° Quando si installa non crea nessun' altra directory se non quella dove decidi di installarla...di default c:\jreXXX cioè versione, ma è possibile mettarla dove si vuole specificandolo in fase di installazione.
    A parte la directory crea alcune entry nel registro per registrarsi come plug-in dei vari browser che trova installati (se in fase di installazione si desidera, altrimenti no!).
    Il jdk in più aggiunge alle variabili di sistema la home di installazione per rendere visibili le librerie e i tools agli sviluppatori, ma appunto il jdk, non il jre.

    Le preferenze sui linguaggi e tecnologie non sono discutibili, ma certe informazioni siOcchiolino
  • > CHE NOIA!
    > Boh?
    > Personalmente, scomparisse, mi farei una birra
    > felice...
    una birra anche per me grazieSorride
    non+autenticato
  • Se scomparisse le offrirei io a voi.
    Nel 2007 ancora c'è chi ci programma. TRISTEZZA
    non+autenticato
  • Tu in cosa sviluppi?Sorride
    non+autenticato

  • - Scritto da:
    > Se scomparisse le offrirei io a voi.
    > Nel 2007 ancora c'è chi ci programma. TRISTEZZA

    certo, tutto il mondo enterprise(o almeno un buon 60%).
    ciko
    367
  • - Scritto da: ciko
    >
    > - Scritto da:
    > > Se scomparisse le offrirei io a voi.
    > > Nel 2007 ancora c'è chi ci programma. TRISTEZZA
    >
    > certo, tutto il mondo enterprise(o almeno un buon
    > 60%).

    il mondo va verso il .Net e C#
    non+autenticato

  • - Scritto da:

    > il mondo va verso il .Net e C#

    Si, ma con taaaaaaaaanta calmaA bocca aperta
    non+autenticato
  • - Scritto da:
    > - Scritto da: ciko
    > >
    > > - Scritto da:
    > > > Se scomparisse le offrirei io a voi.
    > > > Nel 2007 ancora c'è chi ci programma.
    > TRISTEZZA
    > >
    > > certo, tutto il mondo enterprise(o almeno un
    > buon
    > > 60%).
    >
    > il mondo va verso il .Net e C#

    c'é una battuta che dice pressapoco: "se arrodondiamo le cifre il 100% dei processori viene venduto nel mondo embedded"

    ...ma non é una battuta, e li si usa prima il c, poi l'assembly, un pochino di c++ e sembrerà strano, ma infine c'é pure spazio per java

    un altro campo che si espanderà e dove si programma sono le web application, e anche li java é la scelta più sensata per grossi progetti

    .net e compagnia hanno senso solo in un mondo dove ci sono grossi pc con un grosso sistema operativo con un grosso framework/vm. Io il futuro lo vedo differente
    non+autenticato

  • > il mondo va verso il .Net e C#

    Ne sei proprio certo?
    Dai una occhiata a questo indirizzo:
    http://www.tiobe.com/tpci.htm

    non+autenticato

  • - Scritto da:
    > Se scomparisse le offrirei io a voi.
    > Nel 2007 ancora c'è chi ci programma. TRISTEZZA

    a me piace molto sviluppare in java. Dici che dovrei usare il visual basic?
    non+autenticato
  • hey.. i bachi si scoprono tutti i giorni! e meno male!!!Sorride

    ps: chi è che ha moderato come "inutile" e poi ha dato tutti quei punti???
    -----------------------------------------------------------
    Modificato dall' autore il 21 gennaio 2007 13.56
    -----------------------------------------------------------