Otto nuove falle nella MS Virtual Machine

Sono otto le nuove vulnerabilitÓ di sicurezza corrette da Microsoft nella sua nuova versione della Virtual Machine Java. Tappate anche due falle di Windows

Redmond (USA) - La Virtual Machine (VM) Java di Microsoft sembra destinata a confermarsi uno degli anelli pi¨ deboli per la sicurezza degli utenti, e questo nonostante sia uno dei componenti pi¨ "stagionati" di Windows e Internet Explorer.

Dopo le falle corrette alla fine di settembre, questa volta Microsoft deve rattoppare la sua VM in otto punti, tutti descritti nel bollettino di sicurezza MS02-069.

Di queste vulnerabilitÓ, una Ŕ stata classificata con il massimo fattore di rischio (critical), una di rischio elevato (important), due di rischio moderato (moderate) e tre di basso rischio (low).
Secondo quanto riporta il big di Redmond, un aggressore potrebbe sfruttare tutte e otto le falle sfruttando come vettore dell'attacco una pagina Web o una e-mail HTML. Nei casi pi¨ gravi il cracker pu˛ essere in grado di prendere il totale controllo del sistema remoto o di rubare informazioni.

Le vulnerabilitÓ interessano tutte le versioni della VM fino alla 5.0.3805. La nuova VM, scaricabile attraverso il Windows Update, porta invece il numero di build 3809. Per conoscere quale versione della VM sia installata nel proprio sistema Ŕ possibile lanciare da una shell dei comandi il programma jview e verificare il numero che viene riportato nelle prime righe dell'output.

Nella giornata di ieri Microsoft ha annunciato la disponibilitÓ di altri due bollettini di sicurezza: l'MS02-070, che riguarda una vulnerabilitÓ contenuta nel protocollo Server Message Block (SMB) di Windows 2000 e XP, e l'MS02-071, che riguarda invece una falla contenuta nel modo in cui i processi di Windows NT4/2000/XP gestiscono messaggi di tipo "WM_TIMER". Nel primo caso Microsoft ha classificato il problema come di rischio moderato, mentre nel secondo caso il grado di pericolositÓ Ŕ pi¨ elevato (important) a causa del fatto che un aggressore potrebbe sfruttare la breccia per guadagnare i massimi privilegi (system) e prendere il controllo del computer.
TAG: microsoft
57 Commenti alla Notizia Otto nuove falle nella MS Virtual Machine
Ordina
  • su alcuni PC, compreso il mio, il suddetto aggiornamento produce il seguente effetto, poco gradevoleOcchiolino

    http://groups.google.it/groups?q=Q328310&hl=it&lr=...

    in realta' con un LKGC + SM + SR l'ho recuperato in venti minuti, ma io sconsiglierei di provareA bocca aperta
    non+autenticato
  • Dove trovo un forum ita dove si discute di
    questi bugs ?

    thx
    non+autenticato
  • da nessuna parte, come vedi nei forum italiani si discute di tutto tranne che dei bug in questione... ma questo e' normaleOcchiolino

    i newsgroup di microsoft (in inglese, che ci vuoi fare) restano sempre il posto migliore per parlare civilmente e a segno di queste cose ^_^
    non+autenticato
  • Sono 4 anni che non aggiornano la MS-JVM e ancora saltano fuori bug, ergo o lo fanno per boicottare java o i programmatori della microsoft sono dei completi e totali idioti..
    La storia ci insegna che la verita' sta nel mezzo cioe' sono degli idioti con tendenze boicottanti Sorride

    Consiglio1: installate la jvm di Sun
    Consiglio2: lasciate perdere le porcherie della microsoft, appena vedete un logo con finestra svolazzante fuggite a gambe levate!

    se siete un'azienda e pensate che sia difficile ottenere la prestigiosa certificazione "100% microsoft free" sinonimo di stabilita' e sicurezza, contattatemi in privato

    saluti


  • - Scritto da: Mela Marcia
    > Consiglio1: installate la jvm di Sun

    Lo avevo fatto - o meglio, avevo usato anche per IE la JVM di Sun inclusa in Opera 7 - ma è pesantissima e instabile, e meno compatibile con le applet diffuse sul web. Strano ma vero.

    Così ho tolto l'uso della JVM Sun per IE che resta solo per Opera, da usare il meno possibile.



    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Mela Marcia
    > > Consiglio1: installate la jvm di Sun
    >
    > Lo avevo fatto - o meglio, avevo usato anche
    > per IE la JVM di Sun inclusa in Opera 7 - ma
    > è pesantissima e instabile, e meno
    > compatibile con le applet diffuse sul web.
    > Strano ma vero.

    non strano: stranissimo. qualche link a pagine che non funzionavano?

    > Così ho tolto l'uso della JVM Sun per IE che
    > resta solo per Opera, da usare il meno
    > possibile.

    prova con Mozilla e il JRE 1.4.1 standard + plugin netscape (inclusi)
  • - Scritto da: Mela Marcia
    > Sono 4 anni che non aggiornano la MS-JVM e

    ???
    A me non risulta proprio... riprova...


    > ancora saltano fuori bug, ergo o lo fanno
    > per boicottare java o i programmatori della
    > microsoft sono dei completi e totali
    > idioti..

    ahahah... partiamo male... quanta disinformazione nelle tue parole.
    A Microsoft è stato vietato di sviluppare la sua JVM. L'unica cosa concessa (per ancora poco tempo) dal tribunale è la possibilità di correggere i security bug, cosa che puntualmente fa.

    Dal primo gennaio 2004 invece la JVM di MS diventerà a tutti gli effetti non più modificabile, quindi solo un bel pezzo di antiquariato informatico. (Per volontà di Sun, ben inteso)


    > Consiglio1: installate la jvm di Sun
    > Consiglio2: lasciate perdere le porcherie[...]

    E lasciar perdere Java non è un'alternativa?


    Zeross
    1303

  • - Scritto da: Zeross
    >
    > Dal primo gennaio 2004 invece la JVM di MS
    > diventerà a tutti gli effetti non più
    > modificabile, quindi solo un bel pezzo di
    > antiquariato informatico. (Per volontà di
    > Sun, ben inteso)

    be'? quanto MS tutela i suoi interessi ha ragione e quando li tutela Sun no?

    > > Consiglio1: installate la jvm di Sun
    > > Consiglio2: lasciate perdere le
    > porcherie[...]
    >
    > E lasciar perdere Java non è un'alternativa?

    no.
    >
    > Zeross
  • - Scritto da: godzilla
    >
    > > E lasciar perdere Java non è
    > un'alternativa?
    >
    > no.


    Strano... a me pare un'alternativa libera come tutte le altre...


    Zeross
    1303

  • - Scritto da: Zeross
    > - Scritto da: godzilla
    > >
    > > > E lasciar perdere Java non è
    > > un'alternativa?
    > >
    > > no.
    >
    >
    > Strano... a me pare un'alternativa libera
    > come tutte le altre...

    non posso mangiare la minestra con la forchetta. accanto al mio piatto ci sono solo forchette, quindi invece di andare a prendere un cucchiaio non mangio affatto.

    bella alternatva!
  • - Scritto da: godzilla
    >
    > non posso mangiare la minestra con la
    > forchetta. accanto al mio piatto ci sono
    > solo forchette, quindi invece di andare a
    > prendere un cucchiaio non mangio affatto.
    >
    > bella alternatva!


    Se non mangio per un po' muoio... senza Java vivo bene lo stesso.


    Zeross
    (Club G.P.F.L. - Gnòc, Pérsot, Figa e Lambròsch)
    1303

  • - Scritto da: Zeross
    > senza Java vivo bene lo stesso.

    tu.
    forse.
    non+autenticato
  • - Scritto da: Anonimo
    >
    > - Scritto da: Zeross
    > > senza Java vivo bene lo stesso.
    >
    > tu.
    > forse.

    Mi pare di aver usato la prima persona singolare...


    Zeross
    1303

  • - Scritto da: Zeross
    >
    > Mi pare di aver usato la prima persona
    > singolare...

    allora non suggerirlo come soluzione agli altri.
  • L'assurdo è che il prodotto si chiama Microsoft Virtual Machine.
    Cioè, voglio dire... su http://www.microsoft.com/java/ ci piazzano un prodotto che non ha neanche JAVA nel nome...
    Patetico!
    E cosa ci trovate?!?
    Il download del convertitore da JAVA a C#, cioè al linguaggio che Microsoft ha plagiato da JAVA stesso, consapevole che prima o poi Sun si sarebbe incavolata, come poi è successo.

    JUMP!
    Su microsoft.com/java ci trovate JUMP!
    Java Users Migration Path to Microsoft C#!!!
    Ma stiamo scherzando?!?

    E' come se piazzassi un cartello con le indicazioni stradali per raggiungere la mia tabaccheria DAVANTI all'ingresso delle tabaccherie degli altri, con cui ho un rapporto di strategie commerciali reciproco!

    Ecco l'ennesimo, se ce n'era bisogno, motivo per cui ho detto no a tutti quelli che mi hanno proposto di passare da programmatore JSP ad ASP.

    Chiamatemi sognatore...
    non+autenticato
  • - Scritto da: Anonimo
    > L'assurdo è che il prodotto si chiama
    > Microsoft Virtual Machine.
    > Cioè, voglio dire... su
    > http://www.microsoft.com/java/ ci piazzano
    > un prodotto che non ha neanche JAVA nel
    > nome...
    > Patetico!
    > E cosa ci trovate?!?
    > Il download del convertitore da JAVA a C#,
    > cioè al linguaggio che Microsoft ha plagiato
    > da JAVA stesso, consapevole che prima o poi
    > Sun si sarebbe incavolata, come poi è
    > successo.
    >
    > JUMP!
    > Su microsoft.com/java ci trovate JUMP!
    > Java Users Migration Path to Microsoft C#!!!
    > Ma stiamo scherzando?!?
    >
    > E' come se piazzassi un cartello con le
    > indicazioni stradali per raggiungere la mia
    > tabaccheria DAVANTI all'ingresso delle
    > tabaccherie degli altri, con cui ho un
    > rapporto di strategie commerciali reciproco!

    Premesso che www.microsoft.com è tutto tranne proprio che l'ingresso delle altrui "tabaccherie", allo stato attuale MS e SUN non hanno alcun rapporto reciproco.
    Esiste solo una sentenza di un tribunale che obbliga Microsoft a non sviluppare ulteriormente la propria Virtual Machine (bug fix a parte)


    > Ecco l'ennesimo, se ce n'era bisogno, motivo
    > per cui ho detto no a tutti quelli che mi
    > hanno proposto di passare da programmatore
    > JSP ad ASP.

    Complimentoni... invece che valutare l'aspetto tecnico tu valuti il rapporto simpatia/antipatia?
    Bravo bravo...


    > Chiamatemi sognatore...

    Vést quel té scrét sovra àm vin sol ed ciamèret èsen...


    Zeross
    1303
  • Sì, sono bene o male d'accordo sul fatto che il paragone era sicuramente forzato.

    - Scritto da: Zeross
    >
    > Complimentoni... invece che valutare
    > l'aspetto tecnico tu valuti il rapporto
    > simpatia/antipatia?
    > Bravo bravo...
    >
    Qui non sono proprio d'accordissimo al 100%.
    La mia scelta riguarda semplicemente i valori che io ritengo importanti per me.
    Se poi non li porto nel piccolo e nel pratico della vita di tutti i giorni rimangono sogni e belle parole al vento.
    Non sono d'accordo con le politiche e le strategie Microsoft, quindi o mi adatto e faccio finta di essere d'accordo, o mi dissocio e passo ad altro.
    Dove posso farlo lo faccio. Tante volte questo non è possibile (vedi regimi di monopolio/oligopolio di alcuni settori di mercato).
    Se dovessi sempre scegliere il prodotto "migliore" fidandomi della bontà e giustizia delle leggi di mercato molte scelte (anche non in ambito informatico, intendiamoci) sarebbero state differenti.
    Realmente, il lato tecnico è importante, ma non è tutto, per me.

    > Vést quel té scrét sovra àm vin sol ed
    > ciamèret èsen...
    >
    Dai, me lo traduci questo? Non saprei... non capisco... forse sono d'accordo...
    non+autenticato

  • > > Vést quel té scrét sovra àm vin sol ed
    > > ciamèret èsen...
    > >
    > Dai, me lo traduci questo? Non saprei... non
    > capisco... forse sono d'accordo...

    Chiariamo che non sono io colui che l'ha scritto; letteralemnte significa:
    Visto ciò che hai scritto sopra (cioè prima), mi viene solo da chiamarti asino.
    Non so che di quale dialetto si tratti ma ha molte analogie con l'emiliano o il romagnolo. Autore... puoi farci sapere di più?
    Grazie.

    Esculapio (since 1999)
    non+autenticato
  • - Scritto da: Anonimo
    >
    > Non so che di quale dialetto si tratti ma ha
    > molte analogie con l'emiliano o il
    > romagnolo. Autore... puoi farci sapere di
    > più?
    > Grazie.


    Sì, è emiliano, tra le sponde del Secchia e del Panaro.


    Zeross
    1303
  • - Scritto da: Anonimo
    > L'assurdo è che il prodotto si chiama
    > Microsoft Virtual Machine.
    > Cioè, voglio dire... su
    > http://www.microsoft.com/java/ ci piazzano
    > un prodotto che non ha neanche JAVA nel
    > nome...
    > Patetico!
    > E cosa ci trovate?!?
    > Il download del convertitore da JAVA a C#,
    > cioè al linguaggio che Microsoft ha plagiato
    > da JAVA stesso, consapevole che prima o poi
    > Sun si sarebbe incavolata, come poi è
    > successo.
    >
    > JUMP!
    > Su microsoft.com/java ci trovate JUMP!
    > Java Users Migration Path to Microsoft C#!!!
    > Ma stiamo scherzando?!?
    >
    > E' come se piazzassi un cartello con le
    > indicazioni stradali per raggiungere la mia
    > tabaccheria DAVANTI all'ingresso delle
    > tabaccherie degli altri, con cui ho un
    > rapporto di strategie commerciali reciproco!
    >
    > Ecco l'ennesimo, se ce n'era bisogno, motivo
    > per cui ho detto no a tutti quelli che mi
    > hanno proposto di passare da programmatore
    > JSP ad ASP.
    >
    > Chiamatemi sognatore...

    Mi sembra perfettamente in linea con lo "stile" Microsoft, di cosa ti stupisci?
    non+autenticato
  • Ancora una volta e' un problema, e tutto per le scelte che fece Sun.....
    non+autenticato


  • Premetto che di Java non capisco nulla, ma il problema è nella versione Java che MS si è creata, o meglio modificato, partendo da quella originale di SUN, o mi sbaglio? Se non fosse così si avrebbero le stesse falle se si installasse la versione della SUN, e non si parlerebbe di MS Java.


    Ciao
    non+autenticato
  • Proprio per niente il problema e' dell'implementazione di Microsoft visto che con il plug-in si Sun questo problema non c'e'.

    Questa notte sono usciti altri 8,4Mb di aggiornamenti critici per Windows e direi che la Java Virtual Machine non pensa proprio 8,4Mb Sorride
    non+autenticato

  • - Scritto da: Anonimo
    > Ancora una volta e' un problema, e tutto per
    > le scelte che fece Sun.....

    E' stata una sceltq Sun quella di riscrivere una VM da implementare in IExplorer ?
    non+autenticato
  • > E' stata una sceltq Sun quella di riscrivere
    > una VM da implementare in IExplorer ?

    ???
    Non si capisce quel che volevi dire...
    Si parla della MicrosoftVM, non della Sun JVM ufficiale...
    Cioè del prodotto che Microsoft ha "taroccato" perché ha bisticciato con Sun, e perso la causa in tribunale, in base alla cui accusa ha firmato un contratto e ha fatto poi il doppio gioco.

    Una VM da implementare in MSIE c'è eccome... ma non quella Microsoft, bensì quella ufficiale Sun che è arrivata alla versione 1.4.1 mi pare...
    non+autenticato

  • - Scritto da: Anonimo
    > > E' stata una sceltq Sun quella di
    > riscrivere
    > > una VM da implementare in IExplorer ?
    >
    > ???
    > Non si capisce quel che volevi dire...

    Invece hai capito benissimo....

    > Si parla della MicrosoftVM, non della Sun
    > JVM ufficiale...

    Appunto.
    Allora cosa centra Sun ?
    non+autenticato
  • Ah, sì, hai ragione...
    Si capiva benone, sono io che sono off-line oggi!
    Occhiolino
    non+autenticato
  • No, è M$ che forte della fetta di mercato di explorer, dopo alcune battagie legali con sun, ha deciso di fare una VM poprietaria (infatti molte pagine se non le apri con exploder non caricano java correttamente) con metodi (funzioni) diversi dall'implementazione sun.
    Lo so pechè l'ho studiato.
    Ciao.
    non+autenticato
  • > No, è M$ che forte della fetta di mercato di
    > explorer, dopo alcune battagie legali con
    > sun, ha deciso di fare una VM poprietaria
    > (infatti molte pagine se non le apri con
    > exploder non caricano java correttamente)
    > con metodi (funzioni) diversi
    > dall'implementazione sun.
    > Lo so pechè l'ho studiato.


    e dove?
    al Cepu?Sorride)))

    su XP per default non c'e' una vm java
    e neanche dentro explorer
    quindi, o installi la versione MS che e' antica, o la ufficiale Sun.
    Non vedo dove sia il problema, tanto piu' che download per downlaod mi scarico quella Sun che almeno e' supportata...

    ciao
    maks
    179

  • - Scritto da: maks
    > su XP per default non c'e' una vm java
    > e neanche dentro explorer
    > quindi, o installi la versione MS che e'
    > antica, o la ufficiale Sun.
    > Non vedo dove sia il problema, tanto piu'
    > che download per downlaod mi scarico quella
    > Sun che almeno e' supportata...

    Ti aggiorno:

    la JVM di MS per Windows XP non si può più scaricare dal 22 Luglio scorso.

    Sun ha aperto un altro contenzioso contro MS per bloccare il metodo IOD (Installation On Demand) che MS aveva deciso di adottare su WinXP per la sua JVM.

    Attualmente chi installa WinXP ha solo queste alternative per avere la JVM di MS:

    1. Aggiornare il sistema operativo da una versione precedente contenente già la JVM (e poi aggiornandola via Windows Update)
    2. Installare il Service Pack 1 di Windows XP (che la contiene)


    Zeross
    1303
  • > Ti aggiorno:
    >
    > la JVM di MS per Windows XP non si può più
    > scaricare dal 22 Luglio scorso.

    come dire
    SUN si sta danso la zappa sui piedi...
    non capisco dove voglia arrivare
    io ormai sia in explorer che in mozilla ho bloccato l'esecuzione delle applet.. mi danno troppo fastidio...
    tanto se devo sviluppare in java mi scarico l'sdk di sun...

    ciao
    maks
    179
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)