Alfonso Maruccia

Java, attacchi senza precedenti

Microsoft avverte: negli ultimi tempi, la virtual machine Ŕ diventata il bersaglio prediletto di malintenzionati e cyber-criminali. Nonostante le patch siano disponibili da tempo

Roma - L'allarme proviene dal Microsoft Malware Protection Center: sul blog ufficiale, l'organizzazione che fa capo a Redmond descrive quella che è "un'ondata senza precedenti" di attacchi ed exploit pensati per sfruttare vulnerabilità in Java. I dati provengono dalle analisi fatte per mettere assieme l'ultimo Security Intelligence Report di Microsoft, e registrano un picco degli attacchi contro Java durante il terzo quarto dell'anno 2010.

Alla base della nuova pestilenza mirata ad abusare della virtual machine universale di Sun-Oracle, dice Microsoft, ci sono in particolare i tentativi di exploit contro tre diverse vulnerabilità: la prima, CVE-2008-5353, è "un problema di deserializzazione nelle versioni vulnerabili di JRE" che porta all'esecuzione di codice da remoto attraverso i browser su cui è installato il componente Java e su piattaforme multiple (Windows, Linux e Mac OS X).

CVE- 2008-5353 ha sin qui portato a oltre 3,5 milioni tentativi di attacco riguardanti quasi 1,2 milioni di diversi computer, dice il blog, e non bastasse questo si registrano numeri importanti anche per le altre due vulnerabilità: CVE-2009-3867 è un problema di parsing di URL "file://" e può portare all'esecuzione di codice da remoto (2,6 milioni di attacchi e 1,1 milioni di computer), mentre la più recente CVE-2010-0094 è un altro "problema di deserializzazione" simile a CVE-2008-5353 che ha sin qui scatenato 231mila attacchi su 173mila computer.
Tutte e tre le vulnerabilità sono al momento corrette da una patch specifica, ma a quanto pare la cosa non è sufficiente a mettere al riparo netizen e aziende connessi. Java Runtime Environment è un componente attivo in background che non si è ben disposti ad aggiornare con la stessa (alta) frequenza con cui vengono distribuiti gli update al codice, oppure anche se aggiornato non esime i malintenzionati da provare a bucare anche dove buco non c'è.

Oracle dovrebbe adottare l'approccio già seguito da Adobe in merito alla sicurezza dei suoi componenti per browser web, suggerisce Ars Technica, rafforzando il suo impegno nell'irrobustimento del codice e adottando uno schema di distribuzione periodica degli update di sicurezza. La collaborazione con Microsoft per una migliore integrazione di JRE su Windows non guasterebbe.

Alfonso Maruccia
Notizie collegate
49 Commenti alla Notizia Java, attacchi senza precedenti
Ordina
  • alcuni software (evidentemente merdosi) obbigano ad installare specifiche vecchie versioni di JRE, e se si installano patch creano problemi.
    non+autenticato
  • - Scritto da: zap
    > alcuni software (evidentemente merdosi) obbigano
    > ad installare specifiche vecchie versioni di JRE,
    > e se si installano patch creano
    > problemi.

    Ad esempio i sw dell'agenzia delle entrate
    pippuz
    1260
  • Infatti, i software forniti dall'AdE sono di una schifezza...
    non+autenticato
  • Esatto!
    Maledizione!
    non+autenticato
  • - Scritto da: zap
    > alcuni software (evidentemente merdosi) obbigano
    > ad installare specifiche vecchie versioni di JRE,
    > e se si installano patch creano
    > problemi.

    Nulla vieta di avere 2 JRE installate, con predefinita (per il browser) quella recente.

    Luigi
    non+autenticato
  • ma cos'e una barzelletta? il produttore di so + insicuri dice che la micromachine di java e insicura? ha ha ha ha
  • - Scritto da: hacher
    > ma cos'e una barzelletta? il produttore di so +
    > insicuri dice che la micromachine di java e
    > insicura? ha ha ha
    > ha

    taci!
    non+autenticato
  • in una rete con centinaia di PC che devono avere java installato per necessità di utilizzare alcune web application scritte in quel linguaggio non esiste un metodo semplice per gestire la distribuzione delle pach. Sarebbe fondamentale che venissero incluse nel ciclo dei normali aggiornamenti distribuiti trammite windows update
    non+autenticato
  • - Scritto da: Beppe X
    > in una rete con centinaia di PC che devono avere
    > java installato per necessità di utilizzare
    > alcune web application scritte in quel linguaggio
    > non esiste un metodo semplice per gestire la
    > distribuzione delle pach. Sarebbe fondamentale
    > che venissero incluse nel ciclo dei normali
    > aggiornamenti distribuiti trammite windows
    > update

    Java è necessario solo se la webapp ha delle applet, altrimenti (come nel mio caso) basta un browser.
  • - Scritto da: Beppe X
    > Sarebbe fondamentale
    > che venissero incluse nel ciclo dei normali
    > aggiornamenti distribuiti trammite windows
    > update

    Come fa Apple...
  • - Scritto da: logicaMente
    > - Scritto da: Beppe X
    > > Sarebbe fondamentale
    > > che venissero incluse nel ciclo dei normali
    > > aggiornamenti distribuiti trammite windows
    > > update
    >
    > Come fa Apple...


    Java VM su Windows ha gia' il suo AUTOUPDATER/AUTOCHEK attivo dI default una volta installata ..

    quando l'autochek rileva una versione aggiornata nella sicurezza di Java VM sui server Oracle, esce avviso automatico nella barra di Windows per fare l'aggiornamento cliccando su: Installa nuova versione

    se l'utente se ne fotte, non lo fa e bypassa gli avvisi sono azzi della capra che bypassa operazioni d'aggiornamento di base sui computer

    Windows non c'entra niente dato che questa cosa se uno e' capra capita che sia Windows che sia Linus che sia Osx ..

    se uno vuole non fa fare nemmeno gli aggiornamenti AUTOMATICI di sistema bloccandoli

    capisco che queste cose per voi fanboys di setta Apple sono difficili da capire ..ma se cercate di sforzare le vostre meningi una volta tanto, la cosa fa sempre bene per allenarsi in elasticita' mentale
    -----------------------------------------------------------
    Modificato dall' autore il 20 ottobre 2010 15.08
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: logicaMente
    > > - Scritto da: Beppe X
    > > > Sarebbe fondamentale
    > > > che venissero incluse nel ciclo dei normali
    > > > aggiornamenti distribuiti trammite windows
    > > > update
    > > Come fa Apple...

    > Java VM su Windows ha gia' il suo
    > AUTOUPDATER/AUTOCHEK attivo dI default una volta
    > installata..

    Gia' come l'avviso di update di firefox, come l'avviso update di flash, come l'avviso di update di pigdin, come l'avviso di update di skype, come l'avviso di update di opera, come l'avviso di update di... tutto.

    > quando l'autochek rileva una versione aggiornata
    > nella sicurezza di Java VM sui server Oracle,
    > esce avviso automatico nella barra di Windows per
    > fare l'aggiornamento cliccando su: Installa
    > nuova versione

    Clicca di qua clicca di la' e mezza giornata di lavoro anche per oggi e' passata... Ha, viva windows, ora mi manca solo piu' la seconda meta', fortuna che c'e' il forum di pi e qualche libro.

    > se l'utente se ne fotte, non lo fa e bypassa gli
    > avvisi sono azzi della capra che bypassa
    > operazioni d'aggiornamento di base sui computer

    Praticamente e' un videogamen, aggiorna il programmaA bocca aperta

    > Windows non c'entra niente dato che questa cosa
    > se uno e' capra capita che sia Windows che sia
    > Linus che sia Osx ..

    Veramente su linux c'e' un unico update centralizzato che si occupa con un solo click di aggiornare tutti i programmi che necessitano di aggiornamento.

    > se uno vuole non fa fare nemmeno gli
    > aggiornamenti AUTOMATICI di sistema bloccandoli

    Forse capita a te.

    > capisco che queste cose per voi fanboys di setta
    > Apple sono difficili da capire ..ma se cercate di
    > sforzare le vostre meningi una volta la cosa fa
    > sempre bene per allenare l'elasticita' mentale

    Perche' forzare le meningi per fare le cose piu' complicate quando il loro SO con un click fa tutto ? Cosi' come il mio se e' per quello.
    krane
    22544
  • - Scritto da: krane

    >
    > Gia' come l'avviso di update di firefox, come
    > l'avviso update di flash, come l'avviso di update
    > di pigdin, come l'avviso di update di skype, come
    > l'avviso di update di opera, come l'avviso di
    > update di...
    > tutto.

    >
    > Clicca di qua clicca di la' e mezza giornata di
    > lavoro anche per oggi e' passata... Ha, viva
    > windows, ora mi manca solo piu' la seconda meta',
    > fortuna che c'e' il forum di pi e qualche
    > libro.

    >
    > Praticamente e' un videogamen, aggiorna il
    > programma
    >A bocca aperta

    >
    > Veramente su linux c'e' un unico update
    > centralizzato che si occupa con un solo click di
    > aggiornare tutti i programmi che necessitano di
    > aggiornamento.
    >

    > Forse capita a te.

    >
    > Perche' forzare le meningi per fare le cose piu'
    > complicate quando il loro SO con un click fa
    > tutto ? Cosi' come il mio se e' per
    > quello.

    a parte il fatto che Firefox e Opera solo per far 2 esempi si autoaggironano da soli   alle patch di sicurezza come da impostazione di default ( studia) ..cosi' come Windows & Internet Explorer 8 ,Win Meda Player con Servizio Aggiornamento Automatici ....

    ...certo che se i computer sono in mano a gente come te che ne inventa di tutti i colori come hai scritto sopra pur d'arabattare per fare il solito tifo ,allora capisco perche' la gente bypassa un elementare aggiornamento di java VM pur se avvertita a suon di campane e icone lampeggianti   ...


    poi sempre secondo la tua elasticita' mentale chi non e' nemmeno capace di cliccare su: AGGIORNA   dopo esser stato pure avvertito ed avvisato tu daresti in mano Linus dove non saprebbe piu' nemmeno trovare uno stupido pannello di controllo solo per farti un esempio ?

    dai dai..per favore.. basta fanboy Linus ..basta sette
    -----------------------------------------------------------
    Modificato dall' autore il 20 ottobre 2010 15.24
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: krane

    > > Gia' come l'avviso di update di firefox, come
    > > l'avviso update di flash, come l'avviso di
    > > update di pigdin, come l'avviso di update di
    > > skype, come l'avviso di update di opera, come
    > > l'avviso di update di... tutto.

    > > Clicca di qua clicca di la' e mezza giornata
    > > di lavoro anche per oggi e' passata... Ha,
    > > viva windows, ora mi manca solo piu' la
    > > seconda meta', fortuna che c'e' il forum di
    > > pi e qualche libro.

    > > Praticamente e' un videogamen, aggiorna il
    > > programma
    > >A bocca aperta

    > > Veramente su linux c'e' un unico update
    > > centralizzato che si occupa con un solo click di
    > > aggiornare tutti i programmi che necessitano di
    > > aggiornamento.
    > > Forse capita a te.

    > > Perche' forzare le meningi per fare le cose piu'
    > > complicate quando il loro SO con un click fa
    > > tutto ? Cosi' come il mio se e' per quello.

    > a parte il fatto che Firefox e Opera solo per
    > far 2 esempi si autoaggironano da soli   alle
    > patch di sicurezza come da impostazione di
    > default ( studia) ..cosi' come Windows & Internet
    > Explorer 8 ,Win Meda Player con Servizio
    > Aggiornamento Automatici
    > ....

    E tutto il resto invece e' a parte, clicca di qua clicca di la', aggiorna questo, aggiorna quello.

    > ...certo che se i computer sono in mano a gente
    > come te che ne inventa di tutti i colori come
    > hai scritto sopra pur d'arabattare per fare il
    > solito tifo ,allora capisco perche' la gente
    > bypassa un elementare aggiornamento di java VM
    > pur se avvertita a suon di campane e icone
    > lampeggianti...

    Sai, su 10.000 aggiornamenti, tutti con interfaccia diversi, magari qualche click a vanvera scappa.

    > poi sempre secondo la tua elasticita' mentale
    > chi non e' nemmeno capace di cliccare su:
    > aggiorna dopo esser stato pure avvertio ed
    > avvisato tu daresti in mano Linus dove non
    > saprebbe piu' nemmeno trovare un pannello di
    > controllo ?

    Ma da quale progamma ? Spetta che se ne sono aperti 20 e tutti dicono aggiorna qua aggiorna la'.

    > dai dai..per favore.. basta fanboy Linus

    Perche' ? E' PI questo, l'arena dei fanboy.
    krane
    22544
  • - Scritto da: krane

    >
    > Perche' ? E' PI questo, l'arena dei fanboy.


    Questo posto quindi e' la tua arena ....ok , almeno ti rispondi da solo su cosa sei = credibilita' sottozero Rotola dal ridere
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: krane

    > > Perche' ? E' PI questo, l'arena dei fanboy.

    > Questo posto quindi e' la tua arena ....ok ,
    > almeno ti rispondi da solo su cosa sei =
    > credibilita' sottozero Rotola dal ridere

    Hey guarda che ci sei anche tu qui eh, forse non ci avevi fatto caso. Rotola dal ridere
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Fiber
    > > - Scritto da: krane
    >
    > > > Perche' ? E' PI questo, l'arena dei fanboy.
    >
    > > Questo posto quindi e' la tua arena ....ok ,
    > > almeno ti rispondi da solo su cosa sei =
    > > credibilita' sottozero Rotola dal ridere
    >
    > Hey guarda che ci sei anche tu qui eh, forse non
    > ci avevi fatto caso.
    > Rotola dal ridere

    con la differenza che io motivo ed uso la logica matematica

    i fanboy nel 95% inventano solo un sacco di fesserie per difendere la loro setta Con la lingua fuori

    sui forum tecnici informatici seri   il fanboy e' definto oramai = cazzaro
    -----------------------------------------------------------
    Modificato dall' autore il 20 ottobre 2010 15.51
    -----------------------------------------------------------
    Fiber
    3605
  • - Scritto da: Fiber
    > - Scritto da: krane
    > > - Scritto da: Fiber
    > > > - Scritto da: krane

    > > > > Perche' ? E' PI questo, l'arena dei fanboy.

    > > > Questo posto quindi e' la tua arena ....ok ,
    > > > almeno ti rispondi da solo su cosa sei =
    > > > credibilita' sottozero Rotola dal ridere

    > > Hey guarda che ci sei anche tu qui eh, forse non
    > > ci avevi fatto caso. Rotola dal ridere

    > con la differenza che io motivo ed uso la
    > logica matematica

    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere
    Rotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridereRotola dal ridere

    > i fanboy nel 95% inventano solo un sacco di
    > fesserie per difendere la loro setta
    >Con la lingua fuori

    E si infatti, guarda le fesserie che inventi tu Rotola dal ridereRotola dal ridere

    > sui forum tecnici informatici seri il fanboy e'
    > definto oramai = cazzaro

    Infatti, per fortuna c'e' PI Rotola dal ridereRotola dal ridere
    krane
    22544
  • Oracle può anche Morire ! (Da quando si è pappata SUN)
    non+autenticato
  • Si hai ragione, temo che la strada sia, purtroppo, quella.

    - Scritto da: Brunetto
    > Oracle può anche Morire ! (Da quando si è pappata
    > SUN)
    non+autenticato
  • da tempo immemore java nel browser non lo uso proprio (o meglio uso un apposito browser in cui è attivo)

    flash invece lo blocco con un plugin e lo sblocco a seconda dei siti.
    non+autenticato
  • Per fortuna che praticamente tutti gli home banking sono fatti in Java.
    Quelli più furbi (lasciamo perdere i nomi, per carità) sono compatibili soltanto con browser che girano sotto Windows.
    non+autenticato
  • contenuto non disponibile
  • > - Scritto da: Fabrizio Cinti
    > > Per fortuna che praticamente tutti gli home
    > > banking sono fatti in
    > > Java.
    >
    > io ne uso tre di home banking (nonl i cito) e
    > nessuno dei tre usa Java lato client (sul mio PC
    > a casa non ho nemmeno installata un
    > VM).
    Io ne ho una ricaricabile, che ti fa fare il login (con numero carta e pin) in CHIARO!!!
    Si, si esatto manca proprio la s in fondo ad http...
    Però ti chiede flash, che a casa non è neppure installato, per l'animazione del logoA bocca aperta
    non+autenticato
  • > Io ne ho una ricaricabile, che ti fa fare il
    > login (con numero carta e pin) in CHIARO!!!
    > Si, si esatto manca proprio la s in fondo ad http...

    Spesso i siti delle banche (ma non solo) invece di darti tutta la pagina in https, all'interno della pagina http hanno dei frame per l'immissione dei dati di login, che trasmettono i dati in https (all'interno della pagina ci sono degli elementi protetti e altri non protetti, per capirci). Fanno così per poter avere la home page in http (sarebbe uno spreco assurdo di risorse averla in https) e darti comunque la possibilità di loggarti senza dover andare in un altra pagina.
    pippuz
    1260
  • - Scritto da: pippuz
    > > Io ne ho una ricaricabile, che ti fa fare il
    > > login (con numero carta e pin) in CHIARO!!!
    > > Si, si esatto manca proprio la s in fondo ad
    > > http...

    > Spesso i siti delle banche (ma non solo) invece
    > di darti tutta la pagina in https, all'interno
    > della pagina http hanno dei frame per
    > l'immissione dei dati di login, che trasmettono i
    > dati in https (all'interno della pagina ci sono
    > degli elementi protetti e altri non protetti, per
    > capirci). Fanno così per poter avere la home page
    > in http (sarebbe uno spreco assurdo di risorse
    > averla in https) e darti comunque la possibilità
    > di loggarti senza dover andare in un altra
    > pagina.

    Certo sarebbe un po' meno spreco se nella pagina non ci fossero filmati pubblicitari in flash.
    krane
    22544
  • > Certo sarebbe un po' meno spreco se nella pagina
    > non ci fossero filmati pubblicitari in flash.

    Lui parlava di un logo, non di filmati pubblicitari. Flash su una home page è la norma, https no. Sorride
    pippuz
    1260
  • - Scritto da: pippuz
    > > Io ne ho una ricaricabile, che ti fa fare il
    > > login (con numero carta e pin) in CHIARO!!!
    > > Si, si esatto manca proprio la s in fondo ad
    > http...
    >
    > Spesso i siti delle banche (ma non solo) invece
    > di darti tutta la pagina in https, all'interno
    > della pagina http hanno dei frame per
    > l'immissione dei dati di login, che trasmettono i
    > dati in https (all'interno della pagina ci sono
    > degli elementi protetti e altri non protetti, per
    > capirci). Fanno così per poter avere la home page
    > in http (sarebbe uno spreco assurdo di risorse
    > averla in https) e darti comunque la possibilità
    > di loggarti senza dover andare in un altra
    > pagina.

    A detta di google (devo ritrovarti il link però) l'overhead usando https non è molto; inoltre quando hai tutto il sito servito sotto https non hai nemmeno problemi di doppia configurazione del webserver per http e https.
  • > A detta di google (devo ritrovarti il link però)
    > l'overhead usando https non è molto; inoltre
    > quando hai tutto il sito servito sotto https non
    > hai nemmeno problemi di doppia configurazione del
    > webserver per http e https.

    Quest'ultimo (la doppia configurazione) è un problema marginale, secondo me. Sull'overhead è vero, ma 1 non tutti sono google Sorride 2 un overhead, per quanto piccolo, è sempre tale*. 3 una decina di anni fa ricordo che c'era una differenza del 10-15% fra http e https 4 ad oggi, il problema non è dato più di tanto dalla crittazione - decrittazione (anche se, potendo evitare...) quanto dalla latenza introdotta dal SSL handshake e dall'assenza (spesso) di meccanismi di caching.

    * da https://www.google.com (cliccando su 'ulteriori informazioni'): Your Google experience using SSL search might be slightly slower than you're used to because your computer needs to first establish a secure connection with Google.
    pippuz
    1260
  • - Scritto da: pippuz
    > > A detta di google (devo ritrovarti il link però)
    > > l'overhead usando https non è molto; inoltre
    > > quando hai tutto il sito servito sotto https non
    > > hai nemmeno problemi di doppia configurazione
    > del
    > > webserver per http e https.
    >
    > Quest'ultimo (la doppia configurazione) è un
    > problema marginale, secondo me. Sull'overhead è
    > vero, ma 1 non tutti sono google Sorride 2 un
    > overhead, per quanto piccolo, è sempre tale*. 3
    > una decina di anni fa ricordo che c'era una
    > differenza del 10-15% fra http e https 4 ad oggi,
    > il problema non è dato più di tanto dalla
    > crittazione - decrittazione (anche se, potendo
    > evitare...) quanto dalla latenza introdotta dal
    > SSL handshake e dall'assenza (spesso) di
    > meccanismi di
    > caching.
    >
    > * da https://www.google.com (cliccando su
    > 'ulteriori informazioni'): Your Google experience
    > using SSL search might be slightly slower than
    > you're used to because your computer needs to
    > first establish a secure connection with
    > Google.

    La pagina a cui mi riferivo era su uno dei vari googleblog, ma non riesco a ritrovarla.
    Hai detto tutto tu, niente da aggiungere.Sorride

    Fossi io a dover decidere per una banca avrei https attivo su tutto.Geek
  • contenuto non disponibile