Gaia Bottà

Java, c'è un buco nella pezza

L'update straordinario rilasciato da Oracle per contenere gli exploit emersi nei giorni scorsi soffre di una nuova vulnerabilità

Roma - Sono bastate una manciata di ore a ridosso del rilascio della patch straordinaria distribuita da Oracle per bloccare gli exploit in circolazione nei giorni scorsi: Adam Gowdiak, ricercatore di Security Explorations, ha individuato un altro problema.

Pochi dettagli trapelano dalla segnalazione del ricercatore polacco: con Java 7 Update 7 sarebbe possibile aggirare i meccanismi di sicurezza della sandbox, grazie alla combinazione di un bug nella patch associato a dei bug segnalati già nel mese di aprile e non ancora tappati.

Non è dato sapere quando Oracle metterà mano al codice per chiudere il buco, il prossimo update programmato è previsto per il 16 ottobre 2012. Gowdiak non esclude che malintenzionati possano individuare la falla e metterla a frutto, ma ha precisato che la nuova vulnerabilità "potrebbe comunque essere un po' più difficile da individuare".
C'è chi torna a consigliare la disabilitazione di Java. (G.B.)
Notizie collegate
  • SicurezzaJava, una patch d'emergenzaOracle, a furor di popolo, rilascia una versione aggiornata e corretta del suoi runtime Java. E c'è chi accusa: la società sapeva dell'esistenza del problema già da mesi
  • SicurezzaJava, una falla per tuttiScovati una vulnerabilità del runtime Java e il relativo codice di exploit. Il livello di pericolo è alto, la falla è già sfruttata dai malware writer. La community si adopera
  • TecnologiaJava, Oracle si dedica al MacL'azienda di Larry Ellison riprende in mano la problematica situazione del Java su OSX. Nuovi strumenti per gli sviluppatori e update in contemporanea con Windows
180 Commenti alla Notizia Java, c'è un buco nella pezza
Ordina
  • Lo uccidiamo subito alla prima frase?

    "Sono bastate una manciata di ore"...

    Soggetto e verbo li concordiamo o li lasciamo così a casaccio?

    E' bastata una manciata di ore
    Sono bastate due (o più) manciate di ore
    non+autenticato
  • E se il soggetto fossero le ore?

    O forse dovevo scrivere:
    E se il soggetto fosse le ore?
    -----------------------------------------------------------
    Modificato dall' autore il 05 settembre 2012 09.16
    -----------------------------------------------------------
    ruppolo
    33146
  • - Scritto da: ruppolo
    > E se il soggetto fossero le ore?
    >
    > O forse dovevo scrivere:
    > E se il soggetto fosse le ore?
    > --------------------------------------------------
    > Modificato dall' autore il 05 settembre 2012 09.16
    > --------------------------------------------------
    Il soggetto è la manciata di ore... è come dire "le folla di persone" il soggetto non è "persone" ma la "folla" infatti si dice "la folla di persone"

    EDIT:
    Ripensandoci, anche dire folla di persone è sbagliato perchè una folla è un insieme di persone, quindi sarebbe ripetitivo...
    Comunque lo stesso discorso vale per "gruppo di persone" dici "il gruppo di persone", non "le gruppo di persone"
    -----------------------------------------------------------
    Modificato dall' autore il 05 settembre 2012 10.52
    -----------------------------------------------------------
  • Dimostrazione di come una app non fa un genio.
    non+autenticato
  • - Scritto da: ruppolo
    > E se il soggetto fossero le ore?
    >
    > O forse dovevo scrivere:
    > E se il soggetto fosse le ore?
    > --------------------------------------------------
    > Modificato dall' autore il 05 settembre 2012 09.16
    > --------------------------------------------------

    Paisa' vatti a studiare l'italiano, in informatica sarai un guru, ma nell'idioma nazionale dimostri qualche lacuna.

    "Se il soggetto fosse le ore" è di un'insettezza aberrante.

    Prendi la tua frase di partenza, "E se il soggetto fossero le ore?", la rigiri per semplificare l'analisi logica e la scrivi come "E se le ore fossero il soggetto?" e scoprirai come per incanto che hai (involontariamente?) correttamente concordato soggetto e predicato verbale.
    Tutto il resto è noia.
    non+autenticato
  • - Scritto da: italiano
    > - Scritto da: ruppolo
    > informatica sarai un guru
    Pian con le parole
  • - Scritto da: italiano
    > Lo uccidiamo subito alla prima frase?
    >
    > "Sono bastate una manciata di ore"...

    Cosa ti sfugge del concetto "licenza poetica".

    Nel mezzo della patchazione di nostra macchina virtuale mi ritrovai con una nuova falla e la vecchia sicurezza era smarrita......

    ;)Occhiolino
  • - Scritto da: italiano
    > Lo uccidiamo subito alla prima frase?
    >
    > "Sono bastate una manciata di ore"...
    >
    > Soggetto e verbo li concordiamo o li lasciamo
    > così a
    > casaccio?
    >
    > E' bastata una manciata di ore
    > Sono bastate due (o più) manciate di ore

    Se ben ricordo, sono previste eccezioni, esempio:
    "C'ERANO un po' di persone a discutere di ca%%ate sul forum...".

    Detto questo, il singolare mi pare maggiormente appropriato.

    Ah, a proposito, trolluppolo: il vero seguace Apple dice McIntosh.
    non+autenticato
  • Da quando gli scimmioni di Oracle si sono dati all'attivita aggressiva nei tribunali (invece che in sala server) abbiamo visto:

    - guerra legale vergognosa contro google-android (x java), col risultato che si sono fatti odiare e hanno ottenuto pive senza sacco
    - guerra legale vergognosa contro Openoffice, e idem come sopra
    - guerra legale contro SAP... (e hanno preso bei soldi. Cosa non si fa pur di non lavorare)
    - gazillioni di nuovi bachi in Java
    (gli exploiter polacchi dicono che : Java 6 has better security than Java 7. "Java 7 was surprisingly much easier for us to break," Gowdiak said. "For Java 6, we didn't manage to achieve a full sandbox compromise, except for the issue discovered in Apple Quicktime for Java software."
    )
    - gazillioni di bachi del db Oracle (ma questo e' normaleCon la lingua fuori)

    Attendiamo fiduciosi kg di bug anche in virtualboxSorride
    non+autenticato
  • - Scritto da: bubba

    > - guerra legale vergognosa contro google-android

    vabbè, ormai è diventato uno sport prendersela con google per ogni cosa

    > - guerra legale vergognosa contro Openoffice, e
    > idem come
    > sopra

    con risultati zero

    > - guerra legale contro SAP... (e hanno preso bei
    > soldi. Cosa non si fa pur di non
    > lavorare)

    e vabbè, ogni tanto portano a casa qualcosaA bocca aperta

    > - gazillioni di nuovi bachi in Java

    è una featureA bocca aperta

    > (gli exploiter polacchi dicono che : Java 6 has

    polacchi? chi sono? 10 anni fa ricordo che c'era il gruppo LSD che si occupava di bucare la jvm

    > - gazillioni di bachi del db Oracle (ma questo e'
    > normale
    >Con la lingua fuori)

    sempre una featureA bocca aperta

    > Attendiamo fiduciosi kg di bug anche in
    > virtualbox
    >Sorride

    per fortuna si può optare per altro

    comunque c'è pure stato la guerra contro HP e hanno preso mazzate http://www.businessmagazine.it/news/oracle-contro-...
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: bubba
    >
    > > - guerra legale vergognosa contro
    > google-android
    >
    > vabbè, ormai è diventato uno sport prendersela
    > con google per ogni
    > cosa
    >
    > > - guerra legale vergognosa contro
    > Openoffice,
    > e
    > > idem come
    > > sopra
    >
    > con risultati zero
    >
    > > - guerra legale contro SAP... (e hanno preso
    > bei
    > > soldi. Cosa non si fa pur di non
    > > lavorare)
    >
    > e vabbè, ogni tanto portano a casa qualcosaA bocca aperta
    eheh beh per una volta tanto non era neanche patent trollingSorride

    > > - gazillioni di nuovi bachi in Java
    >
    > è una featureA bocca aperta
    lol

    > > (gli exploiter polacchi dicono che : Java 6
    > has
    >
    > polacchi? chi sono? 10 anni fa ricordo che c'era
    > il gruppo LSD che si occupava di bucare la
    > jvm
    ecco bravo si ricordo benissimo gli LSD (uno dei rarissimi casi in cui un gruppo di hackers viene pubblicamente truffato da una societa' di sicurezza [**]Con la lingua fuori). Io mi riferivo a quelli della Security Explorations. Che infatti, guardo ora l' "About" del leader
    (..) For over 8 years, he had been also an active member of a notable polish security research group called LSD.
    LOL eheh

    [**] http://www.securityfocus.com/news/1717

    > > - gazillioni di bachi del db Oracle (ma
    > sempre una featureA bocca aperta
    essi'... danno tanto lavoro ai pentesterSorride

    >
    > > Attendiamo fiduciosi kg di bug anche in
    > > virtualbox
    > >Sorride
    >
    > per fortuna si può optare per altro
    giagia'

    > comunque c'è pure stato la guerra contro HP e
    > hanno preso mazzate
    > http://www.businessmagazine.it/news/oracle-contro-
    ecco... questa me l'ero scordata... del resto.. con queste aziende che trovano piu vantaggioso lottare in tribunale che davanti a un debugger...Con la lingua fuori
    non+autenticato
  • Quello ha permesso il furto dei dati ai danni di un agente FBI, dati relativi agli UDID degli utenti Apple, è proprio un buco Java di un PC:
    http://apple.hdblog.it/2012/09/04/un-gruppo-di-hac.../

    Il notebook incriminato è un Dell Vostro utilizzato da Christopher K. Stangl, un agente speciale dell’FBI, bucato grazie ad una falla in Java durante una sessione di download.

    Alla fine sono sempre i PC a fare danni.
    ruppolo
    33146
  • - Scritto da: ruppolo

    > ...

    Poco lavoro oggi?
    FDG
    11017
  • E spiegami un pochetto... i dati al signore lì chi li ha dati?
    non+autenticato
  • - Scritto da: crumiro
    > E spiegami un pochetto... i dati al signore lì
    > chi li ha
    > dati?

    ovviamente si guarderà bene dal rispondertiA bocca aperta
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: crumiro
    > > E spiegami un pochetto... i dati al signore lì
    > > chi li ha
    > > dati?
    >
    > ovviamente si guarderà bene dal rispondertiA bocca aperta

    È questo che evinci dai miei post? Che non rispondo?
    ruppolo
    33146
  • ok, allora rispondi a crumiro Rotola dal ridere
    non+autenticato
  • Hanno incontrato un emissario di Apple in un bar di Cupertino e dietro pagamento della mazzetta l'agente ha ricevuto una penna USB ed una card iTunes da 100 dollari.

    Annoiato
    non+autenticato
  • magari

    la verità è che l'fbi c'ha la password di root per accedere al server di Coppertino Rotola dal ridere
    non+autenticato
  • magari
    la verità è che per entrare nei server di cupertino si fa:
    login: steve
    password: IAmGod
    non+autenticato
  • - Scritto da: ruppolo
    (..)>
    > Alla fine sono sempre i PC a fare danni.
    Ciuffolo, ma sei normale?Sorride Solo perche mamma apple non vuole che java giri sul tuo iPr0n, non significa che non esista java anche per Macintosh (che secondo la tua definizione NON e' un pc).
    O la mamma non te lo aveva detto?Sorride
    non+autenticato
  • - Scritto da: ruppolo
    > Quello ha permesso il furto dei dati ai danni di
    > un agente FBI, dati relativi agli UDID degli
    > utenti Apple, è proprio un buco Java di un
    > PC:
    > http://apple.hdblog.it/2012/09/04/un-gruppo-di-hac
    >
    > Il notebook incriminato è un Dell
    > Vostro utilizzato da Christopher K. Stangl, un
    > agente speciale dell’FBI, bucato grazie ad una
    > falla in Java durante una sessione di download.
    >

    >
    >
    > Alla fine sono sempre i PC a fare danni.
    E in questo caso i danni quali sarebbero ?
    Il fatto che si sia scoperto che l'FBI ha a disposizione un elenco di identificativi univoci di utenti Apple o il fatto che questi id siano finiti all'FBI ?
    No, così per sapere....
    non+autenticato
  • http://shootout.alioth.debian.org/u32/benchmark.ph...

    Come si vede dal link ci sono casi un cui Java è addirittura più veloce del C++.

    Discorso diverso è per la memoria. Il fatto è che la gestione della memoria di Java è diversa da quella del C++. In java specifichi quanta memoria utilizzare, mentre in C++ occupi quella che serve.

    Per cui dire che Java è lento, quando ha performance comparabili con il C++ vuol dire essere ignoranti.
    E' il solito discorso del sentito dire da qualcuno... Java è lento, mio cuggino lo conferma...
    non+autenticato
  • - Scritto da: poiuy
    > http://shootout.alioth.debian.org/u32/benchmark.ph
    >
    > Come si vede dal link ci sono casi un cui Java è
    > addirittura più veloce del
    > C++.
    >
    > Discorso diverso è per la memoria. Il fatto è che
    > la gestione della memoria di Java è diversa da
    > quella del C++. In java specifichi quanta memoria
    > utilizzare, mentre in C++ occupi quella che
    > serve.
    >
    > Per cui dire che Java è lento, quando ha
    > performance comparabili con il C++ vuol dire
    > essere
    > ignoranti.
    > E' il solito discorso del sentito dire da
    > qualcuno... Java è lento, mio cuggino lo
    > conferma...


    Java è più veloce nelle operazioni brevi e che richiedono calcoli ripetuti più volte mentre il C++ è più veloce nelle operazioni più complesse. Cos'è meglio o peggio? Come al solito la risposta è "Dipende"
  • - Scritto da: poiuy
    > http://shootout.alioth.debian.org/u32/benchmark.ph
    >
    > Come si vede dal link ci sono casi un cui Java è
    > addirittura più veloce del
    > C++.
    >
    > Discorso diverso è per la memoria. Il fatto è che
    > la gestione della memoria di Java è diversa da
    > quella del C++. In java specifichi quanta memoria
    > utilizzare, mentre in C++ occupi quella che
    > serve.
    >
    > Per cui dire che Java è lento, quando ha
    > performance comparabili con il C++ vuol dire
    > essere
    > ignoranti.
    > E' il solito discorso del sentito dire da
    > qualcuno... Java è lento, mio cuggino lo
    > conferma...

    Secondo me la storia che Java è lento è cominciata a girare nelle prime versioni della JVM, quando era affettivamente lento ed aveva problemi col multithreading, poi però Sun ha sistemato tutto, ma la voce ha continuato a girare.
    non+autenticato
  • Infatti è risaputo che tutto il software dove l'ottimizzazione del codice e le performance sono fondamentali viene sviluppato in Java...

    E' davvero follia cercare di sostenere che un linguaggio che gira in una VM possa essere più performante di un linguaggio che gira nativamente, è ovvio che con l'hardware attuale spesso le differenze sono minime nelle applicazioni comuni ma quando si parla di performance nude e crude ne Java ne .net potranno mai competere con implementazioni native per l'hardware specifico.

    Detto questo, Java è utilizzato in tutto il mondo in ambito enterprise per innumerevoli motivi, principalmente il supporto a Java EE (enterprise edition) che seppur rimasto indietro rispetto alle più moderne feature del framework .net garantisce un set solido e stabile che viene utilizzato nelle più grandi aziende in ambito bancario e assicurativo (quelle che fanno girare da sempre i soldi nell'ambito IT).

    Non ha senso far la "gara" tra linguaggi, semplicemente Java o .net sono fatti per un certo tipo di progetti dove la modularità, modernità e manutentabilità del codice la fanno da padrone, linguaggi più bassi come il C++ hanno il loro ambito, potete girarla come vi pare ma un Engine 3D non viene scritto in Java o .net per meri motivi di performance, detto questo, per utilizzi "normali" anche intensivi i vantaggi del Java o .net molto spesso superano i difetti e quindi risultano la scelta più efficace.
    non+autenticato
  • - Scritto da: Walrus

    > Non ha senso far la "gara" tra linguaggi...

    La questione non è se e quali siano le prestazioni di Java, ma se le leggende metropolitane sono da considerare basi valide per giudicare.

    Comunque, in alcuni casi in cui sono importanti le elevate prestazioni, si preferisce usare Java. Per capirci:

    http://hadoop.apache.org/

    Perché? Penso che tu sia in grado di capirlo. Magari espandere il cluster costa meno che sviluppare l'intera soluzione in C.
    -----------------------------------------------------------
    Modificato dall' autore il 04 settembre 2012 17.57
    -----------------------------------------------------------
    FDG
    11017
  • >E' davvero follia cercare di sostenere che un linguaggio che gira in una VM possa essere più performante di un linguaggio che gira nativamente...

    Ma hai guardato almeno uno dei link che ho messo? Almeno quello con "Te lo cerco io su google?"

    Informati, prima di parlare. JIT... chissà che vuol dire....

    Poi hai mai pensato che un linguaggio compilato JIT è potenzialmente più performante di uno che è compilato per funzionare in più architetture, perchè quella VM è ottimizzata per quella architettura?

    Hai mai pensato che le limitazioni di Java (aritmetica puntatori assente ad esempio) permettono al compilatore di fare assunzioni che in C++ sarebbero scorrette?
    non+autenticato
  • - Scritto da: poiuy
    > http://shootout.alioth.debian.org/u32/benchmark.ph
    >
    > Come si vede dal link ci sono casi un cui Java è
    > addirittura più veloce del
    > C++.
    L'UNICO link che lo sostiene, siete messi proprio maleA bocca aperta
    non+autenticato
  • - Scritto da: metro

    > L'UNICO link che lo sostiene, siete messi proprio
    > male
    >A bocca aperta

    "messi male"? Ma che discorso è? È come fare tifoseria sulla fisica. Leggiti l'articolo e impara qualcosa.
    FDG
    11017
  • - Scritto da: FDG
    > - Scritto da: metro
    >
    > > L'UNICO link che lo sostiene, siete messi
    > proprio
    > > male
    > >A bocca aperta
    >
    > "messi male"? Ma che discorso è? È come fare
    > tifoseria sulla fisica. Leggiti l'articolo e
    > impara
    > qualcosa.
    L'unica cosa che puoi imparare da quell'articolo è come NON scrivere in C.
    P.S. se giava è così prestante, come mai è la jvm è scritta in CPP?A bocca aperta
    non+autenticato
  • - Scritto da: metro

    > L'unica cosa che puoi imparare da quell'articolo
    > è come NON scrivere in C.

    E facci vedere quanto sei bravo tu, dai...

    > P.S. se giava è così prestante, come mai è la jvm
    > è scritta in CPP?
    >A bocca aperta

    Linguaggi diversi per scopi diversi.
    FDG
    11017
  • - Scritto da: FDG
    > - Scritto da: metro
    >
    > > P.S. se giava è così prestante, come mai è
    > la
    > jvm
    > > è scritta in CPP?
    > >A bocca aperta
    >
    > Linguaggi diversi per scopi diversi.
    e no ciccio, il mio compilatore cpp è scritto in cpp, come mai con tutti i vantaggi e le prestazioni "superiori" di giava voi non ci riuscite?
    Forse perchè una jvm scritta in giava non andrebbe neanche in discesa?A bocca aperta
    non+autenticato
  • Sì, bravi, disinstallare Java... ma poi con il jdownloader come si fa?
    non+autenticato
  • - Scritto da: piratino newbie
    > Sì, bravi, disinstallare Java... ma poi con il
    > jdownloader come si
    > fa?

    e che ci devi fare stanno chiudendo tutti i siti dove si scarica A bocca aperta
  • - Scritto da: Sherpya
    > - Scritto da: piratino newbie
    > > Sì, bravi, disinstallare Java... ma poi con
    > il
    > > jdownloader come si
    > > fa?
    >
    > e che ci devi fare stanno chiudendo tutti i siti
    > dove si scarica
    > A bocca aperta

    Quella è la pia illusione di Allibito & Co. Occhiolino
    Per uno che chiude, almeno 5 ne aprono, e alcuni si dimostrano pure migliori dei precedenti. Pirata
    non+autenticato
  • - Scritto da: piratino newbie
    > - Scritto da: Sherpya
    > > - Scritto da: piratino newbie
    > > > Sì, bravi, disinstallare Java... ma poi
    > con
    > > il
    > > > jdownloader come si
    > > > fa?
    > >
    > > e che ci devi fare stanno chiudendo tutti i
    > siti
    > > dove si scarica
    > > A bocca aperta
    >
    > Quella è la pia illusione di Allibito & Co. Occhiolino
    > Per uno che chiude, almeno 5 ne aprono, e alcuni
    > si dimostrano pure migliori dei precedenti.
    >Pirata

    A differenza delle videoteche, dove per una che chiude, almeno altre 5 si preparano a chiudere entro fine mese.
  • p.s. Forza Kim!!! Hasta la victoria siempre!Con la lingua fuori
    non+autenticato
  • - Scritto da: piratino newbie

    > Sì, bravi, disinstallare Java... ma poi con il
    > jdownloader come si fa?

    Non disinstallare nulla. Togli solo il plug-in dei browser. E' solo quello il problema.
    FDG
    11017
  • Ricorda che il bug ce l'ha solo Java 7. Quindi se tu hai ancora Java 6 sei immune. Se hai già il 7 puoi disinstallarlo ed installare il 6.
    non+autenticato
  • E ANCHE BEi giochi di pool (BILIARDO) o minigolf o altri tanti bei giochi da certi siti non funzionerebbero.
    user_
    1090
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)