Alfonso Maruccia

Java, la falla a cinque cifre

Una nuova vulnerabilitÓ di sicurezza presente in Java emerge dall'underground telematico, con lo scopritore che chiede una cifra considerevole per la vendita e tutti i dettagli

Roma - C'è una pericolosa vulnerabilità di sicurezza in Java, e questa non è certo una novità. Questa volta, a fare notizia è piuttosto il fatto che la falla sia stata messa in vendita sui forum dell'underground telematico, a una cifra non meglio specificata ma congrua con il tipo di "business" delle falle Java funzionanti.

A scovare la peculiare offerta è Brian Krebs, che nei giorni scorsi aveva già diffuso la notizia sulla vendita di una vulnerabilità XSS su Yahoo! Mail: l'ignoto scopritore dice che la falla funziona solo sull'ultima versione disponibile della virtual machine Oracle (Java JRE 7 Update 9), mentre non è presente sulle release precedenti.

I pochi dettagli comunicati dicono che la vulnerabilità si trova nel componente MidiDevice.Info, normalmente responsabile della gestione degli input e output audio: grazie a un exploit apposito è possibile eseguire codice da remoto e prendere il controllo della macchina bersaglio, dice, con l'esecuzione del codice che risulta "molto affidabile" e funziona su tutte e 7 le versioni di Java testate.
Lo smanettone ha provato l'affidabilità della falla su Firefox e Internet Explorer con Windows 7, mentre nulla viene detto a riguardo di Google Chrome. La vulnerabilità verrà messa in vendita una sola volta, dice l'offerente, con un prezzo di almeno "cinque cifre" - il minimo sindacale per questa classe di bug di sicurezza ad alto impatto demografico.

In attesa dell'intervento di Oracle, Krebs consiglia agli utenti di disinstallare Java dal proprio sistema - soprattutto su Windows, e soprattutto nel caso non raro in cui non si abbia la necessità di fare un uso pratico della virtual machine.

Alfonso Maruccia
Notizie collegate
  • SicurezzaBug Java? Mezzora per una patchUn ricercatore di sicurezza mette pressione a Oracle dimostrando l'estrema facilitÓ per la chiusura di una pericolosa vulnerabilitÓ di sicurezza presente in Java. Che al momento Ŕ ancora aperta e pare resterÓ tale per mesi
  • SicurezzaYahoo! Mail, crack con lo scontoUno sconosciuto smanettone mette in vendita un exploit grazie al quale Ŕ possibile catturare i cookie degli ignari utenti di Yahoo! Mail e poi farne quel che si vuole. L'exploit Ŕ in vendita con lo sconto
59 Commenti alla Notizia Java, la falla a cinque cifre
Ordina
  • Va beh, allora chiamiamo gli ingegneri manovali e i papi campanari...
    non+autenticato
  • contenuto non disponibile
  • volendo sempre da stessa schermata lo disinstalli pure
    non+autenticato
  • - Scritto da: Fesion
    > volendo sempre da stessa schermata lo disinstalli
    > pure

    No: dalla schermata dei plug-in puoi solo disattivarlo, ma non disinstallarlo. Non è un add-on.
    non+autenticato
  • e se mi serve per giocare a biliardo su playforia? usa java
  • 1. usala su un PC diverso da cui tieni dati e informazioni sensibili e magari su una rete diversa dal pc abituale
    2. crea una virtual machine per simulare la situazione 1

    poi puoi fare altre cose scendendo di livello di sicurezza...
    non+autenticato
  • contenuto non disponibile
  • si può mettere il sito in una whitelist per java?

    - Scritto da: unaDuraLezione
    > - Scritto da: user_
    > > e se mi serve per giocare a biliardo su
    > > playforia? usa
    > > java
    >
    > Riabiliti Java, apri il sito che nel 2012 usa
    > ancora Java in WEB lato client, finisci di
    > giocare, disabiliti
    > JAVA.
    > Oppure te lo tieni bello comodo abilitato e speri
    > di non capitare mai in un sito
    > malevolo.
  • ah ecco, con quick java, un'estensione. e poi abilitando la barra dei componenti aggiuntivi.
    -----------------------------------------------------------
    Modificato dall' autore il 29 novembre 2012 17.06
    -----------------------------------------------------------
  • contenuto non disponibile
  • - Scritto da: user_
    > e se mi serve per giocare a biliardo su
    > playforia? usa
    > java
    ah ecco a cosa serve giavaA bocca aperta
    non+autenticato
  • Sembra trascorso un milione di anni da quando Java era la panacea di tutti i problemi dell'informatica ed i fanboy sfegatati si inalberavano contro i rari detrattori.

    Oggi si incamerano notizie come questa senza che nessuno dica bau.
    non+autenticato
  • Chi usa più java nei siti web se non server side? O al massimo per programmi fuori dal browser. Sono le solite ed allarmanti notizie bufala.

    Mai sentito di vulnerabilità di Flash Player o SiverLight???
    non+autenticato
  • non ci crederai ma molti siti per la firma digitale usano applet java
    non+autenticato
  • chiaro, perche' di fatto non esistono molte altre piattaforme integrate client/server come le applet che permettano l'utilizzo di smartcard e simili.
    Le alternative a Java sono anche peggio, come Flash, Silverlight e compagnia bella...
  • Tutto questo parlare di vulnerabilità di Java mi sembra un'idiozia.
    Java è un linguaggio, le vulnerabilità sono semmai nelle virtual machine che molto probabilmente non sono nemmeno scritte in Java!
    non+autenticato
  • - Scritto da: Nome e cognome
    > Tutto questo parlare di vulnerabilità di Java mi
    > sembra
    > un'idiozia.

    Quindi il problema non esiste?

    > Java è un linguaggio, le vulnerabilità sono
    > semmai nelle virtual machine che molto
    > probabilmente non sono nemmeno scritte in
    > Java!
    Per forza non poteteA bocca aperta
    non+autenticato
  • - Scritto da: atem
    > - Scritto da: Nome e cognome
    > > Tutto questo parlare di vulnerabilità di Java mi
    > > sembra
    > > un'idiozia.
    >
    > Quindi il problema non esiste?
    Non esistere <> essere un'idiozia
    >
    > > Java è un linguaggio, le vulnerabilità sono
    > > semmai nelle virtual machine che molto
    > > probabilmente non sono nemmeno scritte in
    > > Java!
    > Per forza non poteteA bocca aperta
    Non possiamo cosa? Non possiamo scrivere jvm in java?
    Maffammilpiacccere!
    non+autenticato
  • - Scritto da: Fesion
    > - Scritto da: atem
    > > - Scritto da: Nome e cognome
    > > > Tutto questo parlare di vulnerabilità di Java
    > mi
    > > > sembra
    > > > un'idiozia.
    > >
    > > Quindi il problema non esiste?
    > Non esistere <> essere un'idiozia
    > >
    > > > Java è un linguaggio, le vulnerabilità sono
    > > > semmai nelle virtual machine che molto
    > > > probabilmente non sono nemmeno scritte in
    > > > Java!
    > > Per forza non poteteA bocca aperta
    > Non possiamo cosa? Non possiamo scrivere jvm in
    > java?
    >
    > Maffammilpiacccere!
    E come mai quella ufficiale per windows è scritta in cpp?A bocca aperta
    non+autenticato
  • Ma tu ragioni solo in binario? 0 o 1? Bianco o nero?
    La maggior parte delle jvm è scritta in altri linguaggi (c/c++ solitamente) ma è possibile scrivere jvm in java e ne esistono già:
    http://jikesrvm.org/
    http://java.net/projects/squawk/pages/SquawkDevelo...
    e perfino quella di Oracle:
    https://wikis.oracle.com/display/MaxineVM/Home

    Che poi quella ufficiale sia scritta in ccp cosa dimostra?
    Mi sembra ragionevole che sia così, ma usare questa argomentazione per trolling prŕt-à-porter credo sia poco qualificante per te stesso.
    non+autenticato
  • - Scritto da: Fesion
    > Ma tu ragioni solo in binario? 0 o 1? Bianco o
    > nero?
    > La maggior parte delle jvm è scritta in altri
    > linguaggi (c/c++ solitamente) ma è possibile
    > scrivere jvm in java e ne esistono
    > già:
    > http://jikesrvm.org/
    > http://java.net/projects/squawk/pages/SquawkDevelo
    > e perfino quella di Oracle:
    > https://wikis.oracle.com/display/MaxineVM/Home
    >
    > Che poi quella ufficiale sia scritta in ccp cosa
    > dimostra?
    Che le prestazioni fanno ca@@re e la portabilità è tutta teoria?A bocca aperta
    non+autenticato
  • > Che le prestazioni fanno ca@@re
    così non lo dimostri, mi posti almeno un benchmark delle tue "prove"?
    > e la portabilità
    > è tutta teoria?
    Stiamo andano fuori tema, mia parlato di portabilità e cmq quella di java per me non è vera multi-platform portabilità te ne dò atto, però non c'entra una fava col fatto che un jvm possa essere scritta in java, vi ho riempito il thread di esempi, se siete pagati da microsoft per incensare .net non me ne può fregar di meno
    >A bocca aperta
    c@220 c'hai da ride poi...
    non+autenticato