Alfonso Maruccia

Java non č ancora sicuro

La virtual machine di Oracle appronta nuove barriere protettive contro il pericolo di falle ed exploit? Barriere superate nel giro di pochi giorni. Oracle ora punta a migliorare almeno la comunicazione con gli sviluppatori

Roma - Non si può negare che Oracle ci provi a migliorare la sicurezza di Java e relativi plugin per browser installati su centinaia di milioni di sistemi in tutto il mondo. Il problema, dicono i gli esperti di sicurezza, è che proprio non ci riesce e Java continua a rappresentare uno dei più gravi pericoli informatici attualmente in circolazione.

L'ultimo episodio di questa infinita telenovela sulle "insicurezze di Java" è scritto ancora una volta da Adam Gowdiak, ricercatore che si è in sostanza specializzato nella caccia (sempre fruttuosa) alle falle inserite nel codice del software. Gowdiak ha preso di mira i recenti miglioramenti approntati da Oracle, idee buone in teoria ma inutili in pratica.

Nell'ultimo aggiornamento Java rilasciato, infatti, l'azienda statunitense aveva approntato un meccanismo per inibire l'esecuzione di applet malevoli (prive di firma digitale) senza esplicita autorizzazione da parte dell'utente.
Funziona? Naturalmente no, dice Gowdiak, che per l'occasione ha realizzato un codice proof-of-concept in grado di bypassare la richiesta di autorizzazione per eseguire le succitate applet indipendentemente dall'utente. Il codice malevolo è risultato funzionante su una macchina Windows 7 con tutti gli ultimi aggiornamenti installati, sostiene ancora Gowdiak.

Java continua a essere vulnerabile, tanto che persino Microsoft consiglia di disabilitare il plugin sul proprio browser per evitare il rischio di cadere vittima di falsi update della virtual machine con intenzioni tutt'altro che amichevoli.

E se proprio i bachi non si possono far sparire, Oracle dice di essere impegnata a migliorare la "comunicazione" dei suoi sforzi di programmazione al vasto pubblico: il problema, ancora una volta, è la sensazione che l'azienda non abbia ben chiaro cosa fare e dire riguardo lo stato delle cose per Java.

Alfonso Maruccia
Notizie collegate
  • SicurezzaJava, tra bloatware e falle infiniteOracle ancora sotto osservazione per le falle che spuntano come funghi. Ma anche per la pratica di infilare barre di ricerca e scanner antivirus nell'installazione degli aggiornamenti di sicurezza
29 Commenti alla Notizia Java non č ancora sicuro
Ordina
  • ... è un computer spento.
    non+autenticato
  • - Scritto da: culco
    > ... è un computer spento.

    e senza java....
    non+autenticato
  • Anche senza Windows...
    iRoby
    6904
  • > e senza java....

    e smettiamola con queste banalità infantili:
    se mai senza plugin attivo nel browser, java in locale è inoffensivo
    non+autenticato
  • Premetto che java, come linguaggio ottimo e con i pro ed i contro di tutti i linguaggi, ovviamente non c'entra nulla.
    Si tratta dei runtime di java, una specie di framework.
    Considerando che oracle non ce la fà, non ha interesse a farcela, non è capace, ha altre cose da fare ....... quale è l'alternativa ??
    Esiste un altro runtime di java per i browser, su piattaforma windows ??.
    Quale è il migliore ??.
    C'è chi, come me, per "dialogare" con la PA (agenzia entrate) ha purtroppo bisogno di attivare sul browser il runtime d java ...... e farebbe volentieri a meno di quello oracle.
    -----------------------------------------------------------
    Modificato dall' autore il 31 gennaio 2013 07.57
    -----------------------------------------------------------
  • > Si tratta dei runtime di java, una specie di
    > framework.
    > Considerando che oracle non ce la fà, non ha
    > interesse a farcela, non è capace, ha altre cose
    > da fare ....... quale è l'alternativa
    > ??

    Ma ti serve per le applet?
    Perché Java si usa per applicativi desktop (poco), server (moltissimo) ed embedded (ancora moltissimo).
    Delle applet al mondo interessa relativamente poco.
    Se ti serve per altri scopi al di fuori del browser, spegni il plugin ti tieni il JDK ufficiale e non ti poni il minimo problema.
    non+autenticato
  • - Scritto da: Ignazio
    > > Si tratta dei runtime di java, una specie di
    > > framework.
    > > Considerando che oracle non ce la fà, non ha
    > > interesse a farcela, non è capace, ha altre
    > cose
    > > da fare ....... quale è l'alternativa
    > > ??
    >
    > Ma ti serve per le applet?
    Ma LEGGERE la domanda prima di rispondere?
    non+autenticato
  • > Ma LEGGERE la domanda prima di rispondere?

    non fare lo strafottente, se vuoi aiuto.
    ripeto a te di leggere la domanda: ti serve veramente per le applet?
    So di prodotti PA che usano Java, ma solo in locale.
    Quindi la domanda è pertinente: il portale usa Java veramente in applet?

    Comunque la risposta è semplice: installi una virtual machine con un browser+Java e te non potra mai fare danni al resto.
    Consiglio VirtualBox+Linux.
    non+autenticato
  • Heiiiiii.
    Son mica io che ti ho risposto, ma armstrong!!!!
    Strafottente, e pure un po tordo, sei tu !!!! ..... ho detto piattaforma windows ..... che me ne frega di linux.
    CMQ la domanda era chiarissima, e del tuo "aiuto" me ne faccio nulla.
    Chiederò a chi ne capisce, che non trovi più qua.
    Grazie !!
    -----------------------------------------------------------
    Modificato dall' autore il 31 gennaio 2013 19.44
    -----------------------------------------------------------
  • > Heiiiiii.
    > Son mica io che ti ho risposto, ma armstrong!!!!

    e io no parlavo con te, ma ad armstrong, perché te la prendi

    > ..... ho detto piattaforma windows ..... che me
    > ne frega di linux.

    Una VM si può fare anche windows e come indicato sparisce il problema perché in quella VM sei isolata.
    Sai come funziona un VM?

    > CMQ la domanda era chiarissima

    chiarissima na sega, e secondo me tu no stai capendo quello che dico:
    i siti PA che usi usano Applet Java o programmi Java da scaricare?

    Sai la differenza tra applet e applicazioni Java?

    Non escludo che la PA possa avere applet java, ma quelle che ho visto io erano applicazioni che giravano in locale al PC e non applet dentro nel browser, e il browser si usava solo per scaricare il programma java da eseguire in locale al PC.

    Ti è chiara la differenza tra un'applet nel browser web e un programma java eseguito sotto windows, fuori dal browser?

    ... sappi che il programma che scarichi ed esegui non ha il ben che minimo problema di sicurezza.

    Solo che gli articoli che sparlano di java in PI non lo spiegano, e spaventano inultilmente che usa Java per applicazioni.

    > e del tuo "aiuto" me ne faccio nulla.

    ha ha presuntuosella

    > Chiederò a chi ne capisce, che non trovi più qua.

    e insolente
    non+autenticato
  • ... ma rompe le scatole in maniera impossibile! Esempio concreto: gli switch di rete HP hanno un'interfaccia web in Java, e ora tra blocchi di default del plugin insicuro (ultima versione!) da parte del browser, e richiesta esplicita di esecuzione delle applet non firmate, debbo cliccare un minimo di 30 volte su "consenti" per usare l'interfaccia! Non ci siamo... non ci siamo!
    non+autenticato
  • > Esempio concreto: gli switch di rete HP hanno

    Chi si da la zappa sui piedi poi non si deve lamentare.
    non+autenticato
  • > Chi si da la zappa sui piedi poi non si deve
    > lamentare.

    Che marca suggerisci, o sommo? Cisco? In questo caso ti esorto a verificare, per esempio, in cosa e' programmato l'ASDM dei Cisco ASA...
    non+autenticato
  • - Scritto da: sardonico
    > ... ma rompe le scatole in maniera impossibile!
    > Esempio concreto: gli switch di rete HP hanno
    > un'interfaccia web in Java, e ora tra blocchi di
    > default del plugin insicuro (ultima versione!) da
    > parte del browser

    qui non è Java il problema, ma il tuo browser che non si fida java e non ti da un modo di dire "di questo sito mi fido al 100%"


    > e richiesta esplicita di
    > esecuzione delle applet non firmate
    qui non è Java il problema, ma Hp che non ti ha firmato le applet, ho le ha lasciate scadere, vedi se ti possono dare una patch
    non+autenticato
  • Tutto vero, ma il punto e' che dover caricare (ammesso che esista) una nuova release del firmware su un apparato, solo perche' nel frattempo la versione della VM Java su cui era stata sviluppata la GUI e' divenuta obsoleta/insicura/deprecata, e' ridicolo.
    Come dicevo al tizio qui sopra, p.es. sui Cisco ASA l'applicazione di gestione pensata per Java 6 non gira sotto Java 7, e in questo caso per avere l'ultima release del firmware (che risolve il problema) occorre un contratto di manutenzione...
    Quindi: perche' usare Java per fare cose che si potrebbero fare senza Java? Dov'e' la necessita' di ricorrere a Java per cose come l'interfaccia web di un'appliance? E lo stesso dicasi per i molti software gestionali (scritti male, certo) che vogliono quella versione di Java, e solo quella li', magari vecchia di anni e bucata come un colapasta... Java 6 e' obsoleto e discontinuato, Java 7 penultima versione e' bucatissimo (anche l'ultima versione peraltro), io come sistemista non posso NON aggiornare la VM dove serve all'ultima versione, e IMMANCABILMENTE qualcosa poi non funziona piu' a dovere...
    non+autenticato
  • Ma sbaglio o la VM java da non so quante versioni supporta le installazioni in parallelo delle major release ?

    Dovresti poter avere installate diverse versioni del jre e poter utilizzare quello che più di aggrada su base applicativa no ?
    mura
    1615
  • - Scritto da: mura
    > Ma sbaglio o la VM java da non so quante versioni
    > supporta le installazioni in parallelo delle
    > major release
    > ?
    >
    > Dovresti poter avere installate diverse versioni
    > del jre e poter utilizzare quello che più di
    > aggrada su base applicativa no
    > ?

    Certo, ma non mi pare che tenere installata una VM bucata a fianco di quella piu' recente (pure bucata, oltretutto) sia una grande idea. Java 6 va fuori manutenzione con febbraio 2013.
    non+autenticato
  • - Scritto da: sardonico
    > - Scritto da: mura
    > > Ma sbaglio o la VM java da non so quante
    > versioni
    > > supporta le installazioni in parallelo delle
    > > major release
    > > ?
    > >
    > > Dovresti poter avere installate diverse versioni
    > > del jre e poter utilizzare quello che più di
    > > aggrada su base applicativa no
    > > ?
    >
    > Certo, ma non mi pare che tenere installata una
    > VM bucata a fianco di quella piu' recente (pure
    > bucata, oltretutto) sia una grande idea. Java 6
    > va fuori manutenzione con febbraio
    > 2013.
    le tue sono giustissime rimostranze...
    Questi babbalei potevano
    a) evitare java e usare dei CGI, come fanno il 99% dei router wifi linux based
    b) rendere opensource e documentato il paciocco java inserito nel router (e qualche anima pia l'avrebbe certamente tenuto aggiornato). Una cosa assolutamente fattibile (almeno sui cisco che conosco) senza dar sorgenti del firmware
    Purtroppo nessuna di queste scelte e' stata fatta... e la mia e' stata, da sempre, di EVITARE la web interface, e andare di CLI (telnet o ssh se c'e'). Si certo in qualche caso (specie all'inizio) piu scomodo,lento.. ma i vantaggi superano di gran lunga il problema iniziale.

    Mi e' capitato anche di incrociare (ma non ti saprei dire alcun nome ,su due piedi.. e' una vita che faccio) delle GUI per pc, che sottotraccia comunicavano in telnet e sparavano i comandi via cli, ma che come front-end usavano una GUI, per semplificare alcune operazioni.
    non+autenticato
  • > Certo, ma non mi pare che tenere installata una
    > VM bucata a fianco di quella piu' recente (pure
    > bucata, oltretutto) sia una grande idea.

    E perché mai? Le due JVM mica si parlano?
    Il buco che conta, se esiste, è solo quello della JVM che usi nel browser che usi in quel momento.
    Se il tuo usa il plugin della 6, che la 7 sia installata (e abbia o meno un altro buco) non cambia nulla.
    Se installi due browser, uno che usa la 6 dentro e una che usa la 7 fuori, e usi il primo solo per andare al tuo server interno con la vecchia JVM e mai per navigare non corri nessun rischio.
    Sul lavoro abbiamo server interni che sono testati solo per IE: quindi uso IE, ma solo per quei server e mai per navigare fuori.

    > Java 6 va fuori manutenzione con febbraio 2013.
    So what: mica smette di funzionare per il tuo server interno.
    non+autenticato
  • parlando da fan java (se si può ancora dire "fan java" dopo la fusione di sun con oracle,cmq per capirci io con java e oracle db mi ci pago il mutuo, e non sputo nel piatto in cui mangio) oracle dovrebbe seguire l'esempio di google

    un bell'evento annuale con risonanza mondiale, tipo il javaday, in cui c'è il concorso buca java e verrai premiato con 1000$ in persona da LarryBarbettaEllison

    non è che java improvvisamente diventerà sicuro ... ma almeno le vulnerabilità uscirebbero una volta all'anno, e la gente si ritroverebbe su PI a commentare le iShoes, come è giusto che sia
    non+autenticato
  • e forse Microsoft dovrebbe fare la stessa cosa...
    non+autenticato
  • - Scritto da: hp fiasco
    > parlando da fan java (se si può ancora dire "fan
    > java" dopo la fusione di sun con oracle,cmq per
    > capirci io con java e oracle db mi ci pago il
    > mutuo, e non sputo nel piatto in cui mangio)
    > oracle dovrebbe seguire l'esempio di
    > google
    >
    > un bell'evento annuale con risonanza mondiale,
    > tipo il javaday, in cui c'è il concorso buca java
    > e verrai premiato con 1000$ in persona da
    > LarryBarbettaEllison
    >
    > non è che java improvvisamente diventerà sicuro
    > ... ma almeno le vulnerabilità uscirebbero una
    > volta all'anno, e la gente si ritroverebbe su PI
    > a commentare le iShoes, come è giusto che
    > sia
    idea interessante.... il problema di Oracle, purtroppo, e' che fino a ieri ha concentrato i suoi sforzi nel reparto azzeccagarbugli (cfr. oracle vs google war, oracle openoffice war, oracle sap war)
    non+autenticato
  • Nessun bisogno. Oracle sta concentrando le risorse su OpenJDK, quella VM rimarrá in ambienti legacy.
    non+autenticato
  • - Scritto da: qualcuno
    > Nessun bisogno. Oracle sta concentrando le
    > risorse su OpenJDK, quella VM rimarrá in
    > ambienti legacy.

    E andrebbe pure bene, ma:

    1. OpenJDK presente gli stessi bug della Oracle JVM?
    2. E' solo per Linux; versioni ufficiale per Windows?
  • - Scritto da: hp fiasco
    > un bell'evento annuale con risonanza mondiale,
    > tipo il javaday, in cui c'è il concorso buca java
    > e verrai premiato con 1000$ in persona da
    > LarryBarbettaEllison
    Bella idea, purtroppo però, andrebbero in bancarotta se la mettessero in atto
    non+autenticato
  • > > e verrai premiato con 1000$ in persona da
    > > LarryBarbettaEllison
    > Bella idea, purtroppo però, andrebbero in
    > bancarotta se la mettessero in atto

    ... perché tu pensi di saperlo fare? Non farci ridere
    non+autenticato
  • > non è che java improvvisamente diventerà sicuro

    Java è sicuro, è solo il plugin dei browser che mescola codice Java con Javascript e altri pezzi non Java che diventa fragile.
    E la colpa viene dai browser che con Javascript non hanno nessuna sicurezza.

    Ad Oracle delle Applet interessa poco, Java si usa per molte altre cose, sopratutto lato server e embedded, e ti assicuro che in termini di sicurezza ha pochi rivali.

    Prova tu a scrivere in C++ usando una ACL seria e poi ne riparliamo...
    non+autenticato
  • - Scritto da: Ignazio
    > Ad Oracle delle Applet interessa poco, Java si
    > usa per molte altre cose, sopratutto lato server
    > e embedded, e ti assicuro che in termini di
    > sicurezza ha pochi
    > rivali.
    Si, si, come visual basicA bocca aperta
    non+autenticato
  • > Si, si, come visual basicA bocca aperta

    Ride bene chi ride ultimo: ti auguro che la tua banca web usi java, perché se usa php puoi pregare.
    Per non dire che il resto del server è cento volte più sicuro scritto in Java che in C o Cobol, che non hanno una gestione del ACL nativa come ha Java, e ne consegue che il programmatore può facilmente predisporre delle backdoor o peggio.
    Ma è palese che non sai di cosa parli se confronti con visual basic che non ha nessuna attinenza visto che non è usato su server (seri) ne tantomeno embedded.
    non+autenticato