Crepa nella MS Virtual Machine

Microsoft rilascia una versione aggiornata della propria macchina virtuale Java, inclusa in quasi tutte le versioni di Windows, che chiude una vulnerabilitÓ. Sistemati anche alcuni bachi

Redmond (USA) - Microsoft ha corretto una falla di sicurezza scoperta nella sua Virtual Machine (VM), un'implementazione dell'interprete run-time di Java inclusa in molte versioni di Windows e di Internet Explorer.

La vulnerabilitÓ, classificata da Microsoft con il massimo grado di rischio, interessa tutte le versioni della VM e, secondo quanto descritto da Microsoft nel bollettino MS03-01, consiste in un mancato controllo, da parte del componente ByteCode Verifier, di certi tipi di codice malevolo nelle applet Java in esecuzione.

Un aggressore pu˛ sfruttare la debolezza attraverso la creazione di una pagina Web contenente un'applet Java malevola che, una volta aperta, pu˛ consentirgli di eseguire comandi a sua scelta con gli stessi privilegi dell'utente locale.
Fra i fattori mitiganti Microsoft cita il fatto che l'aggressore deve persuadere l'utente a visitare un sito Web sotto il suo controllo e che le applet Java sono disabilitate nei Restricted Sites Zone e con le versioni di Outlook e Outlook Express pi¨ recenti o a cui sia stato applicato il security pack Outlook Email Security Update.

Per risolvere il problema, Microsoft ha rilasciato una nuova versione della VM, la 3810, che pu˛ essere scaricata attraverso Windows Update.

Lo scorso anno Microsoft ha corretto oltre una decina di vulnerabilitÓ della sua VM, otto delle quali lo scorso dicembre.

Sun ha recentemente chiesto ad una corte federale americana di impedire a Microsoft l'aggiornamento della sua Java virtual machine, questo persino in caso di gravi bug di sicurezza. Sun, che considera la VM di Microsoft troppo obsoleta, spera di obbligare la propria avversaria ad includere in Windows il proprio Java Runtime Environment. L'ingiunzione chiesta da Sun Ŕ attualmente al vaglio di una corte d'appello.

Microsoft ha rilasciato altri due bollettini di sicurezza: uno, l'MS03-012 descrive una seria vulnerabilitÓ di Microsoft Proxy Server 2.0 e Microsoft ISA Server che potrebbe essere sfruttata da cracker per attacchi di tipo denial of service; l'altro Ŕ un aggiornamento dell'MS00-084 riguardante una vulnerabilitÓ di tipo Cross Site Scripting in Microsoft Indexing Services for Windows 2000 e Microsoft Indexing Services for Windows NT 4.0.
TAG: microsoft
48 Commenti alla Notizia Crepa nella MS Virtual Machine
Ordina
  • provate ad usare Mozilla e non ve ne pentirete.
    non+autenticato
  • impera sovrana.
    secondo te mozilla usa un altra VM java bravo stolto

    e incredibile la moltitudine di utonti che pretendono di dare consigli

    che figura di palta.

    usa mozilla cosi visti i buchi che ha altro che VM

    - Scritto da: Anonimo
    > provate ad usare Mozilla e non ve ne
    > pentirete.


    non+autenticato

  • - Scritto da: Anonimo
    > impera sovrana.
    > secondo te mozilla usa un altra VM java

        e secondo te, grandissimo espertone, io uso
        mozilla con la vm di m$? Vai sul sito di mozilla
        e guarda cosa ti consigliano di scaricare come vm.

    > e incredibile la moltitudine di utonti che
    > pretendono di dare consigli

        possiamo metterci alla prova quando vuoi,
        poi vediamo chi e' l'utonto?


    > usa mozilla cosi visti i buchi che ha altro
    > che VM

        pensa a chiudere quelli che hai nel tuo
        piccolo cervello.




    non+autenticato
  • HHAHA bella risposta ...
  • e secondo te, grandissimo espertone, io
    > uso
    >     mozilla con la vm di m$? Vai sul sito di
    > mozilla
    >     e guarda cosa ti consigliano di
    > scaricare come vm.

    e cosa cambia allora?
    se usi la jvm di sun non sei vulnerabile anche con IE

    anzi...
    per la serie chi e' senza peccato scagli la prima pietra:

    28/03/2003
    BugTraq


    t = new Packages.sun.plugin.javascript.navig5.JSObject(1,1);


    crashes Netscape 7.02 and Opera 7 on Windows XP.
    The active JVM in both tested browsers is Java 1.4.1_02 from Sun.

    This liveconnect (javascript-2-java-communication) stuff seems
    to be still very dangerous.

    Sincerely
    Marc Schoenefeld


    Crashes Mozilla 1.2a
    (Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.2a) Gecko/20020910)
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Anonimo
    > > impera sovrana.
    > > secondo te mozilla usa un altra VM java
    >
    >     e secondo te, grandissimo espertone, io
    > uso
    >     mozilla con la vm di m$? Vai sul sito di
    > mozilla
    >     e guarda cosa ti consigliano di
    > scaricare come vm.
    >    
    > > e incredibile la moltitudine di utonti che
    > > pretendono di dare consigli
    >
    >     possiamo metterci alla prova quando vuoi,
    >     poi vediamo chi e' l'utonto?
    >
    >    
    > > usa mozilla cosi visti i buchi che ha
    > altro
    > > che VM
    >
    >     pensa a chiudere quelli che hai nel tuo
    >     piccolo cervello.
    >

    be e facile fare lo sborone dopo che uno ti ha detto dove avevi fatto la fesseria, infatti ti potevo vedere mentre leggevi il mio post ed andavi a scaricare l'altra VM, peccato che questa e più bucata di quella della MS
    non+autenticato

  • - Scritto da: Anonimo
    > impera sovrana.
    > secondo te mozilla usa un altra VM java

    Si.:

    URL -> about:plugins
    [...]
        File name: NPJava11.dll
        Java Plug-in 1.3.1_01
    [...]

    > e incredibile la moltitudine di utonti che
    > pretendono di dare consigli

    L'hai notato pure tu, vero ?

    > che figura di palta.

    Dai, non buttarti giu' cosi' ...

    > usa mozilla cosi visti i buchi che ha altro
    > che VM

    Che tradotto significherebbe ... ?
    11237

  • >
    > > usa mozilla cosi visti i buchi che ha
    > altro
    > > che VM
    >
    > Che tradotto significherebbe ... ?

    eh eh eh fingi di non capire ... se furbo amico mio.......
    quando si parla di bachi OS viene a tutti l'otite.....

    Guarda il numero di bachi di mozilla, di cui molti critici e poi ne riparliamo....
    non+autenticato

  • - Scritto da: Anonimo

    > > Che tradotto significherebbe ... ?
    >
    > eh eh eh fingi di non capire ... se furbo
    > amico mio.......

    Non sono io che fingo, sei tu che scrivi _veramente_ male !

    > Guarda il numero di bachi di mozilla, di cui
    > molti critici e poi ne riparliamo....

    Eh, l'onesta' degli sviluppatori ... Io aspetto che qualcuno mi formatti l'HD con un'Applet Java.
    11237

  • - Scritto da: Giambo
    >
    > - Scritto da: Anonimo
    >
    > > > Che tradotto significherebbe ... ?
    > >
    > > eh eh eh fingi di non capire ... se furbo
    > > amico mio.......
    >
    > Non sono io che fingo, sei tu che scrivi
    > _veramente_ male !
    >
    > > Guarda il numero di bachi di mozilla, di
    > cui
    > > molti critici e poi ne riparliamo....
    >
    > Eh, l'onesta' degli sviluppatori ... Io
    > aspetto che qualcuno mi formatti l'HD con
    > un'Applet Java.

    e grazie sei un utonto e il minimo che ti può capitare, con o senza VM o WIN ciao utontone
    non+autenticato

  • - Scritto da: Anonimo
    >
    > - Scritto da: Giambo
    > >
    > > - Scritto da: Anonimo
    > >
    > > > > Che tradotto significherebbe ... ?
    > > >
    > > > eh eh eh fingi di non capire ... se
    > furbo
    > > > amico mio.......
    > >
    > > Non sono io che fingo, sei tu che scrivi
    > > _veramente_ male !
    > >
    > > > Guarda il numero di bachi di mozilla,
    > di
    > > cui
    > > > molti critici e poi ne riparliamo....
    > >
    > > Eh, l'onesta' degli sviluppatori ... Io
    > > aspetto che qualcuno mi formatti l'HD con
    > > un'Applet Java.
    >
    > e grazie sei un utonto e il minimo che ti
    > può capitare, con o senza VM o WIN ciao
    > utontone

    Ripassati il concetto di SANDBOX e poi torna a postare... se ti va ovviamente!!!!!!
    non+autenticato

  • La cosa non mi stupisce visto che a Microsoft Java non serve e non piace...

    Fosse per loro probabilmente l'avrebbero già dismessa da anni ma il libero stato americano la costringe a tenerla in vita e a distribuirla con Windows....



    nop
    563
  • se il libero stato gli obbliga a distribuire Java, è perchè Microsoft è monopolista sui sistemi operativi desktop, e dunque è anche giusto che, se vuole mantenere tale posizione, accetti certe restrizioni dall'alto.
    Purtroppo solo la Sun può tentare di bloccare i boicottaggi di Microsoft, molti altri software vendors possono solo baciare il culo a Bill per mantenere la loro posizione.
  • - Scritto da: JosaFat
    > se il libero stato gli obbliga a distribuire
    > Java, è perchè Microsoft è monopolista sui
    > sistemi operativi desktop, e dunque è anche
    > giusto che, se vuole mantenere tale
    > posizione, accetti certe restrizioni
    > dall'alto.

    Quindi dovrei spendere soldi e tempo per favorire un concorrente?

    Scusami ma dove vivi? nel paese dei balocchi?


    non+autenticato
  • > Quindi dovrei spendere soldi e tempo per
    > favorire un concorrente?

    Evidentemente non conosci i fatti....
    JAVA è brevettato dalla SUN e lei ha consentito all microsoft
    di ridistribuire il suo prodotto sui sistemi windows.
    il problema è nato quando microsoft ha di proposito stravolto
    la virtual machine java immettendo delle classi non standard.
    e mandando a puttane tutto il lavoro di riutilizzo che java consentiva.
    fra diversi sistemi operativi.
    la SUN si è incazzata e gli ha fatto causa (giustamente )
    da notare che microsoft ha levato dal commercio
    microsoft visual J dopo avera appreso che perdeva la causa.
    Forse non lo sai ma anche l'IBM ha costruito una sua virtual machine
    java ma SUN non gli ha detto nulla proprio perche IBM ha seguito
    lo standard.
    CIao
    non+autenticato
  • - Scritto da: Anonimo
    > > Quindi dovrei spendere soldi e tempo per
    > > favorire un concorrente?
    >
    > Evidentemente non conosci i fatti....
    > JAVA è brevettato dalla SUN e lei ha
    > consentito all microsoft
    > di ridistribuire il suo prodotto sui sistemi
    > windows.
    >   il problema è nato quando microsoft ha di
    > proposito stravolto
    > la virtual machine java immettendo delle
    > classi non standard.
    > e mandando a puttane tutto il lavoro di
    > riutilizzo che java consentiva.
    > fra diversi sistemi operativi.
    > la SUN si è incazzata e gli ha fatto causa
    > (giustamente )
    > da notare che microsoft ha levato dal
    > commercio
    > microsoft visual J dopo avera appreso che
    > perdeva la causa.

    So come sono andati i fatti; so anche che MS aveva abbandonato lo sviluppo/manutenzione della sua JVM.

    > Forse non lo sai ma anche l'IBM ha costruito
    > una sua virtual machine
    > java ma SUN non gli ha detto nulla proprio
    > perche IBM ha seguito
    > lo standard.

    Standard che poi standard no è cmq se oggi IBM cessasse di sviluppare manutenere la propria JVM nessuno avrebbe nulla da dire... la stato americano ha costretto non so per quale motivo MS a continuare a svillupare la sua JVM.

    Come pretendere che Telecom continui a sviluppare un sistema di comunicazione che utilizza solo Infostrada ... pensate che lo sviluppo venga seguito con attenzione?

    Che questa JVM è piena di buchi non mi stupisce... anzi mi stupisce chi sottolinea l'esistenza dei buchi stessi ... che probabilmente sono gli stessi che criticano chi usa Sendmail definendolo obsoleto...




    non+autenticato
  • - Scritto da: Anonimo
    > So come sono andati i fatti; so anche che MS
    > aveva abbandonato lo sviluppo/manutenzione
    > della sua JVM.

    MS ha dovuto abbandonare lo sviluppo della propria JVM.
    Per sentenza del tribunale MS può solo sistemare i security bugs, e solo fino al 01/01/2004.
    Da tale data in poi la MS JVM sarà congelata alla versione corrente e probabilmente mandata in soffitta definitivamente.


    > la stato americano ha costretto non so per
    > quale motivo MS a continuare a svillupare la
    > sua JVM.

    Manutenere, non sviluppare.


    Zeross
    1303
  • Non è tutto vero quello che dici: se MS distribuisse con i proprio SO, o con il proprio browser la JVM di Sun, nessuno avrebbe da dirgli nulla.
    Comunque è un dato di fatto che IE senza Java non potrebbe più visualizzare le applet, e ciò non lo faciliterebbe nei confronti degli altri browser. E' per questo che MS ha comunque inserito la propria JVM sui propri SO.
    Il problema è poi come abbia tentato di uscirsene dallo standard per motivi suoi, tecnicamente e moralmente riproverevoli.


  • - Scritto da: nop
    >
    > La cosa non mi stupisce visto che a
    > Microsoft Java non serve e non piace...
    >
    > Fosse per loro probabilmente l'avrebbero già
    > dismessa da anni ma il libero stato
    > americano la costringe a tenerla in vita e a
    > distribuirla con Windows....

    Non sono sicuro, ma penso che nessuno avrebbe nulla da ridire se distribuissero la JVM di Sun lasciando morire la loro.
    Per lo meno si potrebbero lavare le mani di Bug, girando la palla a SUN


    Ciao, Krecker
    non+autenticato


  • > 11/04/03 - News - Redmond (USA) - Microsoft ha corretto .
    > una falla di sicurezza scoperta nella sua Virtual Machine
    > (VM), un'implementazione dell'interprete run-time di Java
    > inclusa in molte versioni di Windows e di Internet Explorer

    .......... bug scoperto a inizio novembre 2002;

    6 mesi per correggerlo ......... e meno male che e' critico !!!!

    http://msgs.securepoint.com/cgi-bin/get/bugtraq021...
    non+autenticato

  • > 11/04/03 - News - Redmond (USA) - Microsoft ha corretto .
    > una falla di sicurezza scoperta nella sua Virtual Machine
    > (VM), un'implementazione dell'interprete run-time di Java
    > inclusa in molte versioni di Windows e di Internet Explorer

    > .......... bug scoperto a inizio novembre 2002;

    > 6 mesi per correggerlo ......... e meno male che e' critico !!!!


    Adesso hanno da correggere solo piu' 13 bug.
    Coraggio, in un paio di anni abbondanti dovrebbero farcela.
    non+autenticato
  • 13 bug in IE, non nella virtual machine

    http://www.pivx.com/larholm/unpatched/
    non+autenticato
  • - Scritto da: Anonimo
    > 13 bug in IE, non nella virtual machine
    >
    > http://www.pivx.com/larholm/unpatched/


    Guarda pure qui:

    http://makeashorterlink.com/?R5C931C24

    I bug sono milioni di milioni...........

    ciao
    non+autenticato
  • - Scritto da: Anonimo
    > 13 bug in IE, non nella virtual machine
    >
    > http://www.pivx.com/larholm/unpatched/


    E cmq sono 11 e non 13.
    Ce ne sono 2 che hanno la scritta "Patched in IE6 by IE6 Service Pack 1".
    Almeno leggete quello che postate...


    Zeross
    1303
  • Certo che zeross doveva fare la sua comparsa altrimenti il post non era completo. Grazie zeross

  • - Scritto da: Zeross
    > - Scritto da: Anonimo
    > > 13 bug in IE, non nella virtual machine
    > >
    > > http://www.pivx.com/larholm/unpatched/
    >
    >
    > E cmq sono 11 e non 13.

    > Almeno leggete quello che postate...

    CHE CULO
    ha ha ha ha

    leggi tu quello che SCRIVI Sorride

    non ti senti ridicolo?

    UNDICI!!!!!!!!!!!!!! un prodotto in commercio PAGATO dai clienti ... usato in tutto il mondo, che espone l'ano di ognuno al vento Sorride

    PAZZESCO
    non+autenticato
  • - Scritto da: Anonimo
    >
    > UNDICI!!!!!!!!!!!!!! un prodotto in
    > commercio PAGATO dai clienti ... usato in


    Mmm... vediamo...
    http://download.microsoft.com/download/ie6sp1/finr...

    Oooohhh... ho fatto click ma non mi è apparsa la form dove inserire il numero di carta di credito per pagare... ci dev'essere qualcosa che non va, riprovo... tsk tsk... no, niente da fare, mi scarica subito il file... mah...


    Zeross
    1303
  • > UNDICI!!!!!!!!!!!!!! un prodotto in
    > commercio PAGATO dai clienti ... usato in
    > tutto il mondo, che espone l'ano di ognuno
    > al vento Sorride


    ti invito a leggere

    http://www.securityfocus.com/archive/1/318290/2003...
    http://www.securityfocus.com/archive/1/318289/2003...

    le prime due che mi sono capitate sott'occhio oggi

    anche quelli sono prodotti a pagamento
    vuol dire che non possono avere bug?
    non+autenticato
  • guardate in casa vostra i buchi che avete
    non+autenticato
  • Sendmail è un sw nato 30 anni fà circa, per un'ltra realtà informatica.
    Lo sbaglio non è Sendmail che ha dimostrato nella sua carriera di essere un gran sw; ma chi vuole cmq usarlo (anche se è un sw open)
    non+autenticato
  • ma hai presente ?
    Un conto e' un SERVER un conto e' un APPLICATIVO CLIENT come l'implementazione Java sotto IE ...
    e poi Sendmail e' stato il server di posta che ha sorretto internet nei tempi passati, ora ci sono altri server di posta (OPENSOURCE) che sono molto piu' performanti e sicuri.
    Stolto e' chi continua ad usare sendmail in produzione o un browser fatto da una ditta che la sicurezza la trascura da quando e' nata.
    Usate Mozzilla, Opera...che avranno i loro bachi ... ma sono molto piu' seri di IE ... e poi se volessi installare Windows senza IE come faccio ???Con la lingua fuoriPP
  • - Scritto da: laforge

    > Usate Mozzilla, Opera...che avranno i loro
    > bachi ... ma sono molto piu' seri di IE ...
    > e poi se volessi installare Windows senza IE
    > come faccio ???Con la lingua fuoriPP

    Mozilla e Opera sono disponibili per windows.... Occhiolino))

    Regards,

    Stevie

  • - Scritto da: laforge
    > ma hai presente ?
    > Un conto e' un SERVER un conto e' un
    > APPLICATIVO CLIENT come l'implementazione
    > Java sotto IE ...
    > e poi Sendmail e' stato il server di posta
    > che ha sorretto internet nei tempi passati,
    > ora ci sono altri server di posta
    > (OPENSOURCE) che sono molto piu' performanti
    > e sicuri.
    > Stolto e' chi continua ad usare sendmail in

    fino a qui ti ampie ragioni

    > produzione o un browser fatto da una ditta
    > che la sicurezza la trascura da quando e'
    > nata.

    la sicurezza fino alla nascita del primo worm per internet e stat
    a trascurata da tutte le societa, ed anche dall'open, quindi prima di sbandierare ste cose ci penserei bene.

    > Usate Mozzilla, Opera...che avranno i loro
    > bachi ... ma sono molto piu' seri di IE ...

    si come no una società che per protesta produce una versione del suo browser che incasina il portale della concorrenza, onestamente non mi da segno di affidabilità, l'altro che comincia ad annunciare cambiamenti di rotta totali.

    > e poi se volessi installare Windows senza IE
    > come faccio ???Con la lingua fuoriPP

    non usi win molto semplice.
    non+autenticato
  • Reputi piu' seria una ditta che rende il suo sito malfunzionante ai browser della concorrenza? Ma per piacere! Per lo meno Opera lo hafatto come protesta ironica, MS lo fa come linea di condotta commerciale!


    Ciao, Krecker
    non+autenticato
  • o le funzionalità.

    Mitica M$... ora venitemi a dire che IE è il browser più sicuro, mentre milioni di utenti si beccheranno i virus nelle prossime due settimane...
    non+autenticato
  • > o le funzionalità.
    >
    > Mitica M$... ora venitemi a dire che IE è il
    > browser più sicuro, mentre milioni di utenti
    > si beccheranno i virus nelle prossime due
    > settimane...

    ma chi usa ancora la jvm MS che e' ferma alla ver 1.1???
    non+autenticato

  • > ma chi usa ancora la jvm MS che e' ferma
    > alla ver 1.1???

    Un sacco di gente che di computer non ci capisce niente (niente di male per carità) e che se la tiene perchè la ha trovata nel sistema.
    Aggiornamento ? Installazione ? La maggior parte della gente non sa da dove cominciare !

    Questa è la grande fortuna di m$.

  • > Aggiornamento ? Installazione ? La maggior
    > parte della gente non sa da dove cominciare
    > !
    >
    > Questa è la grande fortuna di m$.


    Tu pensa su XP non l'avevano e il Doj l'ha fatta installare ...
    non+autenticato