Alfonso Maruccia

Su Mac OS X Java è ancora bucato

La falla è nota da mesi, è già stata corretta ma Apple non ha ancora provveduto ad aggiornare adeguatamente il sistema operativo dei suoi Mac nonostante il corposo update di alcune settimane fa

Roma - Windows sarà anche il sistema operativo più bersagliato e bucato della storia dell'informatica ma in quanto a tempi di aggiornamento e sistemazione di falle varie Apple non sembra seconda a Microsoft. Prendi ad esempio una vulnerabilità Java nota già ad agosto dell'anno scorso, subito patchata da Sun ma ancora "viva" (e pericolosa) nei Mac persino dopo la cura da cavallo del Security Update 2009-001.

Il ricercatore Julien Tinnes avverte della persistenza del problema evidenziandone la pericolosità e si lamenta del fatto che non sia stato risolto con l'update di cui sopra: "Si tratta di una pura vulnerabilità Java", scrive Tinnes, spiegando che "questo significa avere la possibilità di scrivere un exploit affidabile al 100% in puro codice Java. Questo exploit funzionerà su tutte le piattaforme, tutte le architetture e tutti i browser".

Ma se sugli altri sistemi operativi il problema è già stato risolto e la stessa Sun ha aggiornato i runtime Java eliminando quella che secondo Secunia è una vulnerabilità ad alta criticità, su Mac OS X il baco continua a perdurare ed è stato anche protagonista del CanSecWest di quest'anno. L'universalità della falla è rafforzata dal fatto che essa riguarda svariate implementazioni di Java incluse OpenJDK, GIJ, Icedtea e la versione "ufficiale" di Sun.
La falla è pericolosa, e in circolazione c'è anche un codice proof-of-concept in grado di sfruttarla con successo. In attesa che Apple decida di risolvere il problema con gli interpreti Java inclusi su Mac OS X i consigli più gettonati per porre rimedio al problema ed evitare di correre rischi includono la disabilitazione tout-court dell'interprete sui vari browser e l'utilizzo di plug-in "ammazza-script" come NoScript disponibile su Mozilla Firefox.

Falla a parte, il problema principale evidenziato per l'occasione dagli esperti è sempre il solito, e cioè i tempi e le politiche di rilascio degli update di sicurezza seguite da Apple. Come si giustifica un ritardo di quasi un anno per la correzione di un baco altrove già risolto? Secondo Tinnes la ragione principale sarebbe la tendenza degli sviluppatori web a costruire il proprio codice a partire da versioni specifiche di Java, i cui update possono causare grattacapi per quanto riguarda la retro-compatibilità. "Questo - spiega - potrebbe essere il motivo per cui gli update al Java di Apple sono così infrequenti".

Alfonso Maruccia
180 Commenti alla Notizia Su Mac OS X Java è ancora bucato
Ordina
  • Tex, cosa pensi di aver risolto usando il mio nick?
    Se sono registrato pensi che il giochino regga?
    -----------------------------------------------------------
    Modificato dall' autore il 24 maggio 2009 11.52
    -----------------------------------------------------------
    -ToM-
    4532
  • - Scritto da: -ToM-
    > Tex, cosa pensi di aver risolto usando il mio
    > nick?

    Tu credi che si debba risolvere qualcosa? SI? Allora spiega a tutto il mondo cosa hai risolto con questo post.

    > Se sono registrato pensi che il giochino regga?
    Credi che sia importante?
    L'importante è che da registrato fai caciara anche peggio di chi non lo è, ma tu sei solo capace di criticare i non registrati senza mai guardarti allo specchio perché il tuo spirito di autocritica sta a zero come tante altre cose che ti riguardano.
    non+autenticato
  • Tex sei patetico, non è che clonando il nick di un altro diventi credibile, sempre frustrato rimani, anzi lo dimostri sempre di più, altro che compassione per te fai proprio pena.
  • - Scritto da: gnulinux86

    Risparmiati gli insulti, sei compatito da tutti anche se non posti.
    Sloggati che fai fare magra figura ai registrati seri.
    non+autenticato
  • - Scritto da: ToM
    > Risparmiati gli insulti, sei compatito da tutti
    > anche se non posti.
    >
    > Sloggati che fai fare magra figura ai registrati
    > seri.

    Io e gnulinux86 abbiamo scambiato messaggi privati in queste settimane appunto per discutere in maniera civile, cosa impossbile alla luce del sole su questo forum.
    Quindi, cè già uno che non lo "compatisce", che rispetta la sua opinione anche se a volte non la condivide, con cui discute senza insulti. Impara qualcosa ogni tanto.
    -ToM-
    4532
  • "In sintesi
    La falla è nota da mesi, è già stata corretta ma Apple non ha ancora provveduto ad aggiornare adeguatamente il sistema operativo dei suoi Mac nonostante il corposo update di alcune settimane fa"

    In sintesi ... attiriamo il lettore parlando di falle di sicurezza del sistema operativo Apple, e ci troviamo un articolo sulle falle di sicurezza di un prodotto SUN (a parte il codice di integrazione per la piattaforma Apple, comunque non sotto accusa)
    non+autenticato
  • manco il titolo leggete...è java ad essere ancora bucato sul mac os( non si parla di falle specifiche di mac os)...mentre gli altri hanno aggioranto il componente java del proprio os...apple ancora è in ritardo inspiegabilmente
    non+autenticato
  • Sbagli, lo sviluppo di java per OSX non lo fa SUN per conto di apple.

    Se hai voglia di una lettura: http://developer.apple.com/documentation/Java/Conc...
    non+autenticato
  • ... e installate 3-4 spyware scanner.. valà valà . ..

    che cosa c'entra appple se la falla è su java??? quindi ci sarà sicuro anche per windows (oltre ad altre 1000 non ancora comunicate)
    non+autenticato
  • - Scritto da: carlo

    > che cosa c'entra appple se la falla è su java???

    Forse c'entra perchè, a differenza degli altri principali OS, su MacOS la java VM la fornisce e la aggiorna la Apple stessa?

    http://developer.apple.com/java/

    > quindi ci sarà sicuro anche per windows (oltre ad
    > altre 1000 non ancora
    > comunicate)

    Basterebbe aver letto l'articolo per sapere che non è così, almeno per questo caso specifico.

    Troll occhi di fuori
  • Lo togliessero una volta per tutte.
    Quando si parla di vulnerabilità o c'è di mezzo IE o java.
    non+autenticato
  • Disattivalo (java, ie sul mac non c'è).

    Poi vedi te se il guadagno in sicurezza vale la perdita di funzionalità...
  • se spengo il giava, poi i filamtini porno non si vedonoTriste
  • - Scritto da: Pallonaro
    > Lo togliessero una volta per tutte.
    > Quando si parla di vulnerabilità o c'è di mezzo
    > IE o
    > java.
    Lo togliessero? E poi col mac che ci fai? lo butti? gia avevi motivi con java , figurati senza java
    non+autenticato
  • Dato che non la capisci in italiano, prova con l'inglese

    http://developer.apple.com/documentation/Java/Conc...
    non+autenticato
  • - Scritto da: carlo
    > ... e installate 3-4 spyware scanner.. valà valà
    > .
    > ..
    >
    > che cosa c'entra appple se la falla è su java???
    > quindi ci sarà sicuro anche per windows (oltre ad
    > altre 1000 non ancora
    > comunicate)

    C'entra perchè mentre su tutti gli altri s è stata tappata, sui mac no.
    non+autenticato
  • - Scritto da: Blackstorm
    > - Scritto da: carlo
    > > ... e installate 3-4 spyware scanner.. valà
    > valà
    >
    > > .
    > > ..
    > >
    > > che cosa c'entra appple se la falla è su java???
    > > quindi ci sarà sicuro anche per windows (oltre
    > ad
    > > altre 1000 non ancora
    > > comunicate)
    >
    > C'entra perchè mentre su tutti gli altri s è
    > stata tappata, sui mac
    > no.

    "sui mac no" non ha gran senso perché non è detto che ci giri per forza OSX, ma sicuramente sottointendevi l'OS
    non+autenticato
  • - Scritto da: Tex
    > - Scritto da: Blackstorm
    > > - Scritto da: carlo
    > > > ... e installate 3-4 spyware scanner.. valà
    > > valà
    > >
    > > > .
    > > > ..
    > > >
    > > > che cosa c'entra appple se la falla è su
    > java???
    > > > quindi ci sarà sicuro anche per windows (oltre
    > > ad
    > > > altre 1000 non ancora
    > > > comunicate)
    > >
    > > C'entra perchè mentre su tutti gli altri s è
    > > stata tappata, sui mac
    > > no.
    >
    > "sui mac no" non ha gran senso perché non è detto
    > che ci giri per forza OSX, ma sicuramente
    > sottointendevi
    > l'OS
    Si, intendevo mac come "macchina apple+leopard", chiaramente.
    non+autenticato
  • - Scritto da: Blackstorm
    > Si, intendevo mac come "macchina apple+leopard",
    > chiaramente.

    Era ovvio per tutti tranne che per lui... chiaramenteOcchiolino
    Chissà se cè un forum da qualche parte dove un tex e un ruppolo litigano fra puritaneità e ossiessioni.
    I mac user in questo forum aprono bocca e sentenziano senza rendersi conto che molto spesso sono in contraddizione fra loro... si vedono solo su PI ste cose LOL
    -ToM-
    4532
  • Voglio il punto sulla questione visto da Ruppolo, strano non leggere ancora un suo commento..Triste
  • - Scritto da: gnulinux86
    > Voglio il punto sulla questione visto da Ruppolo,
    > strano non leggere ancora un suo commento..Triste

    sta ancora ragionando sul non-nesso java+aifone
    -ToM-
    4532
  • - Scritto da: -ToM-
    > - Scritto da: gnulinux86
    > > Voglio il punto sulla questione visto da
    > Ruppolo,
    > > strano non leggere ancora un suo commento..Triste
    >
    > sta ancora ragionando sul non-nesso java+aifone
    hanno messo Java anche sugli asciugacapelli?
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    LROBY
    lroby
    5311
  • Lo hanno pure messo nei cessi pubblici, ecco perché son sempre in quelle pessime condizioni Occhiolino
    non+autenticato
  • - Scritto da: Tex
    > Lo hanno pure messo nei cessi pubblici, ecco
    > perché son sempre in quelle pessime condizioni
    > Occhiolino

    E quanto costano!

    Clicca per vedere le dimensioni originali
    -ToM-
    4532
  • Tu che ci abiti dovresti saperlo!
    non+autenticato
  • - Scritto da: Tex
    > Tu che ci abiti dovresti saperlo!

    e tu che idolatri casa mia?
    invidioso?

    oh, in simpatia eeeeeh!Occhiolino
    -ToM-
    4532
  • - Scritto da: -ToM-
    > - Scritto da: Tex
    > > Tu che ci abiti dovresti saperlo!
    >
    > e tu che idolatri casa mia?
    > invidioso?

    Dubito, ma deve sicuramente essere un tuo classico errore d'interpretazione


    >
    > oh, in simpatia eeeeeh!Occhiolino

    Tranquillo. Tiro lo sciacquone? Così ti fai un paio di vasche, ma sempre in pura e genuina simpatia eh Occhiolino
    non+autenticato
  • non è che sei te ruppolo? lol
    -ToM-
    4532
  • Si sono Ruppolo finalmente te ne sei accorta
    non+autenticato
  • Non è che te soffri di allucinazioni?

    - Scritto da: -ToM-
    > non è che sei te ruppolo? lol
    non+autenticato
  • Non è vero che su MacOSX c'è la falla.
    Basta che uno mette in giro una voce che c'è un buco e aruota si cerano articoli assurdi ahahah

    Il giro che il bug non è stato corretto da Apple è una bufala.
    E subito a ruota si creano articoli non veriA bocca aperta
    non+autenticato
  • - Scritto da: Salvatore Ariati
    > Basta che uno mette in giro una voce che c'è un
    > buco e a ruota..
    pensavo che continuassi la frase con "cercheranno di entrarvi dentroOcchiolino"
    ImbarazzatoImbarazzatoImbarazzatoImbarazzato
    LROBY
    lroby
    5311
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | Successiva
(pagina 1/3 - 11 discussioni)