Alfonso Maruccia

Java bucato, Cisco intercettata

La virtual machine di Oracle continua a subire le peggiori attenzioni anche nel 2013. E poi sfortuna vuole che certi telefoni intelligenti si possano trasformare in cimici per le spie

Roma - Anno nuovo, falla zero-day nuova per Java: la virtual machine più bucherellata di sempre contiene l'ennesima vulnerabilità pericolosa per gli utenti e i netizen che navigano il Web. La falla è già sfruttata attivamente da ignoti cyber-criminali, e potrebbe presto trasformarsi in una minaccia di ampie proporzioni se Oracle non deciderà di distribuire un aggiornamento tempestivo.

Gli esperti di sicurezza hanno scovato e testato la nuova vulnerabilità nell'ultimo runtine Java disponibile (Java 7 Update 10), verificando la possibilità di iniettare ed eseguire codice malevolo da remoto su una macchina Windows aggiornata all'ultimo update rilasciato da Microsoft.

Ma la vera pericolosità della falla, oltre al suo status di vulnerabilità "zero-day", è l'inserimento come modulo di attacco all'interno degli "exploit kit" più noti sul mercato nero della cybersicurezza come Black Hole e Nuclear Pack: stando così le cose, il numero di siti compromessi - e dunque il potenziale bacino di vittime dei cyber-criminali - potrebbe presto crescere in maniera sensibile.
E se da Oracle ancora scarseggiano notizie sull'auspicabile rilascio di una patch risolutiva, il consiglio anti-falla buono per tutte le stagione prevede la disabilitazione del plugin sui browser. Nel caso di Internet Explorer, inoltre, disabilitare non basta e occorre disinstallare la virtual machine dal sistema per essere sicuri.

Lo sfruttamento della nuova falla Java non richiede l'accesso "fisico" al PC che si vuole infettare, mentre il caso opposto si verifica in relazione all'ultima vulnerabilità scovata nei telefoni "IP" con funzionalità di rete commercializzati da Cisco. Un hacker determinato che avesse la possibilità di mettere le mani su un telefono della serie CiscoUnified IP Phone 7900, dicono i ricercatori che hanno individuato il problema, potrebbe iniettare del codice malevolo nel firmware (Unix-like) del dispositivo tramite porta seriale così da trasformarlo in una vera e propria "cimice" e/o dispositivo di sorveglianza capace di intercettare le chiamate e trasmetterle (via streaming di rete) a un server remoto.

Alfonso Maruccia
Notizie collegate
  • SicurezzaJava, la falla a cinque cifreUna nuova vulnerabilitÓ di sicurezza presente in Java emerge dall'underground telematico, con lo scopritore che chiede una cifra considerevole per la vendita e tutti i dettagli
22 Commenti alla Notizia Java bucato, Cisco intercettata
Ordina
  • L'unico motivo fino ad oggi portato per giustificare l'uso del Java è quello classico del "lo usano tutti".

    Ormai questo vantaggio non basta più per sopportare la lunga lista di svantaggi che porta questo linguaggio... e avendo provato svariati linguaggio posso dirlo: pochi altri linguaggi sono peggiori del Java.

    E quello che è peggio è il mito della sua semplicità e della sua rapidità di sviluppo... non vedo cosa ci sia di semplice nell'usare il Java, quando per leggere un file devi istanziare classi a matrioska e quel tempo che risparmi(?) nello scrivere il codice lo perdi alla grande nella fase di debug, causata dal cattivo stile di programmazione che il Java ti obbliga ad usare.
    non+autenticato
  • Se programmi un'application server (seria) vedi poi come ti conviene usare il Java. È vero, il PHP ti permette di fare certe cose subito e velocemente (in PHP la gestione delle query al DB è parecchio più semplificata), però quando inizia a diventare grande la cosa, e ad usare pesantemente il modello ad oggetti, Hibernate (JPA) e JAXB (per la gestione degli stream in XML) vengono veramente tanto in aiuto u.u . Non credo che caratteristiche come la reflection si possano trovare in linguaggi come il PHP (esiste in C#, ma sappiamo che non funziona dappertutto)...

    Invece per quanto il lato client... beh... il Java è letteralmente morto (su Windows conviene sviluppare usando .NET, sui sistemi Unix-like in Python o Perl)

    Però il Java è (ancora molto) vivo via lato server...
  • Siamo nel 2013 e parliamo ancora di php vs java sui server?
    ╚ uno scherzo vero? Sono entrambi morti

    Aggiornatevi.
    non+autenticato
  • - Scritto da: sffdasd asdf sfa
    > Siamo nel 2013 e parliamo ancora di php vs java
    > sui
    > server?
    > ╚ uno scherzo vero? Sono entrambi morti
    >
    > Aggiornatevi.
    ed ora cosa c'è?
    non+autenticato
  • E cosa ci sarebbe ora di sua grazia? Ruby? Python?
  • - Scritto da: sffdasd asdf sfa
    > Siamo nel 2013 e parliamo ancora di php vs java
    > sui
    > server?
    > È uno scherzo vero? Sono entrambi morti
    >
    > Aggiornatevi.

    aggiornaci sulle nuove tendenze.
    non+autenticato
  • - Scritto da: mcmcmcmcmc
    > - Scritto da: sffdasd asdf sfa
    > > Siamo nel 2013 e parliamo ancora di php vs
    > java
    > > sui
    > > server?
    > > È uno scherzo vero? Sono entrambi morti
    > >
    > > Aggiornatevi.
    >
    > aggiornaci sulle nuove tendenze.
    Dato che in Italia informatica = banche e/o assicurazioni, le nuove tendenze contano meno di zero.
    non+autenticato
  • - Scritto da: Trollollero
    > - Scritto da: mcmcmcmcmc
    > > - Scritto da: sffdasd asdf sfa
    > > > Siamo nel 2013 e parliamo ancora di php
    > vs
    > > java
    > > > sui
    > > > server?
    > > > È uno scherzo vero? Sono entrambi
    > morti
    > > >
    > > > Aggiornatevi.
    > >
    > > aggiornaci sulle nuove tendenze.
    > Dato che in Italia informatica = banche e/o
    > assicurazioni, le nuove tendenze contano meno di
    > zero.

    conoscendo bene il mondo banche e/o assicurazioni, vorrei sapere quali sono le nuove tendenze al di fuori del mondo creditizio.
    non+autenticato
  • - Scritto da: sffdasd asdf sfa
    > Siamo nel 2013 e parliamo ancora di php vs java
    > sui
    > server?
    > È uno scherzo vero? Sono entrambi morti
    >
    > Aggiornatevi.

    01/10
  • Suppongo che l'unico punto su 10 sia dovuto al nickname, non al post Rotola dal ridere
    non+autenticato
  • - Scritto da: Andreabont
    > L'unico motivo fino ad oggi portato per
    > giustificare l'uso del Java è quello classico del
    > "lo usano
    > tutti".
    >
    > Ormai questo vantaggio non basta più per
    > sopportare la lunga lista di svantaggi che porta
    > questo linguaggio... e avendo provato svariati
    > linguaggio posso dirlo: pochi altri linguaggi
    > sono peggiori del
    > Java.
    >
    > E quello che è peggio è il mito della sua
    > semplicità e della sua rapidità di sviluppo...
    > non vedo cosa ci sia di semplice nell'usare il
    > Java, quando per leggere un file devi istanziare
    > classi a matrioska e quel tempo che risparmi(?)
    > nello scrivere il codice lo perdi alla grande
    > nella fase di debug, causata dal cattivo stile di
    > programmazione che il Java ti obbliga ad
    > usare.

    e tu dove hai avuto queste informazioni? Dove hai imparato a programmare?
    Hai trovato un corso dentro una bustina di patatine?
    non+autenticato
  • il plugin Java 7 su Firefox andando in Componenti Aggiuntivi, è evidenziato con uno sfondo dverso. C'è un messaggio: [..]presenta delle vulnerabilità conosciute. Usare con cautela.

    Per sicurezza lo tengo disattivato. Tanto è raro trovare un sito che lo usa. Poi da about:config ho attivato per tutti i plug-in la funzionalità "click-to-play" sono disattivati quando si carica il sito e posso attivarli cliccando sull'area dove è inserito l'oggetto solo quando voglio io.
  • - Scritto da: thebecker
    > il plugin Java 7 su Firefox andando in Componenti
    > Aggiuntivi, è evidenziato con uno sfondo dverso.
    > C'è un messaggio: [..]presenta delle
    > vulnerabilità conosciute. Usare con
    > cautela.

    Ho notato anche io

    > Per sicurezza lo tengo disattivato. Tanto è raro

    non mi è mai capitato di doverlo attivare

    > trovare un sito che lo usa. Poi da about:config
    > ho attivato per tutti i plug-in la funzionalità
    > "click-to-play" sono disattivati quando si carica
    > il sito e posso attivarli cliccando sull'area
    > dove è inserito l'oggetto solo quando voglio
    > io.

    ecco, questo non lo sapevo, interessante. Adesso vedo come funziona.
    per la cronaca basta attivare la voce plugins.click_to_play
    Funz
    12972
  • siamo sicuri che software java sia più sicuro della sua controparte .net.....................
  • - Scritto da: sgabe
    > siamo sicuri che software java sia più sicuro
    > della sua controparte
    > .net.....................
    Finchè non cominceranno ad attacare la piattaforma .NET no, e poi comunque qui si parla di Applet Java che sono una cosa diversa da Application Java.
    Le application java non hanno bisogno di un browser. Io penso che il plugin java dei browser sia diventato inutile, una volta quando flash era poco usato si crea un applet java, ma ora c'è Flash e sta uscendo HTML5 quindi le applet java sono perfettamente inutili.
    Cosa non inutile invece sono le application java che danno la possibilità di girare su più sistema operativi senza troppi sbattimenti
    non+autenticato
  • Diamo tutti per scontato che i software possanno avere bug dalla nascita, e aspettiamo i "patch day", che risolvano falle o disfunzionalità.
    Sono sicuro che se un marziano arrivasse qui sarebbe allibito dalla mancanza di professionalità e dalla scorrettezza morale delle aziende di software, e dalla supina accettazione che "le cose stanno così" da parte degli acquirenti.
    Altro che "speriamo che la patch sia rilasciata presto".
    Questi comportamenti andrebbero sanzionati, specie per Oracle che fa causa a tutti, appena ritiene di poterlo fare, e specie per le aziende che rilasciano addirittura le patch a pagamento...
    Per quanto riguarda Cisco, azienda che comunque di comportamenti scoretti se ne intende (come, diciamocelo, tutte le grandi aziende di questo insano mondo), sono d'accordo che il bug sia nella testa dei "ricercatori che hanno individuato il problema".
    non+autenticato
  • Scusatemi ma se io posso accedere ad un dispositivo (il telefono) che ha un microfono, una scheda di rete e un suo firmware e so programmare è facile che possa trasformare il dispositivo in una micro-spia. Non mi sembra una gran falla.. La falla sarebbe stata se tutto questo lo potessi fare da remoto senza accedere al dispositivo.
    Tra l'altro la cosa non è nemmeno tanto impossibile, infatti tutti i telefoni ip (non solo quelli della cisco) quando vengono accessi si collegano al server per verificare se ci sono degli aggiornamenti; se io posso accedere alla rete posso anche riuscire a sostituire il server degli aggiornamenti con uno fasullo e quindi fare la stessa cosa su tutti i telefono dell'azienda senza avere sotto mano il telefono stesso...
    Secondo me considerare questa una falla è assurdo.
    non+autenticato
  • Dipende.. Sicuro che il telefono non di identifichi prima col server tramite certificati?
    - Scritto da: Scumm78
    > Scusatemi ma se io posso accedere ad un
    > dispositivo (il telefono) che ha un microfono,
    > una scheda di rete e un suo firmware e so
    > programmare è facile che possa trasformare il
    > dispositivo in una micro-spia. Non mi sembra una
    > gran falla.. La falla sarebbe stata se tutto
    > questo lo potessi fare da remoto senza accedere
    > al
    > dispositivo.
    > Tra l'altro la cosa non è nemmeno tanto
    > impossibile, infatti tutti i telefoni ip (non
    > solo quelli della cisco) quando vengono accessi
    > si collegano al server per verificare se ci sono
    > degli aggiornamenti; se io posso accedere alla
    > rete posso anche riuscire a sostituire il server
    > degli aggiornamenti con uno fasullo e quindi fare
    > la stessa cosa su tutti i telefono dell'azienda
    > senza avere sotto mano il telefono
    > stesso...
    > Secondo me considerare questa una falla è assurdo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)