Alfonso Maruccia

Java ancora bucato

La notizia, non nuova, è che la virtual machine di Oracle risulta ancora vulnerabile. E ci sarebbe in circolazione anche un exploit, seppure non solidissimo, che installa trojan nelle macchine vittima

Roma - Le cronache provenienti dal pianeta Java sono purtroppo spesso un elenco di vulnerabilità e falle di sicurezza. Il fatto è vero soprattutto in quest'ultimo periodo, con la virtual machine di Oracle costantemente al centro dell'attenzione di tutti per via di svariati attacchi di alto profilo contro mezzi di comunicazione, social network e organizzazioni non governative.

Negli ultimi giorni di falle Java ne sono emerse addirittura tre, anche se per una di esse Oracle mette in discussione la classificazione come vulnerabilità. La terza vulnerabilità è in realtà già stata corretta da un recente update del software, nondimeno è al momento impiegata da ignoti cyber-criminali per bypassare la sandbox della virtual machine.

Le due nuove falle sono state individuate dal solito Adam Gowdiak, ricercatore specializzato nella caccia ai bachi di Java che dice di averne testato l'utilizzo su tutte le ultime versioni della virtual machine. Oracle non è però convinta della definizione di "vulnerabilità" in almeno uno dei casi indicati da Gowdiak, e il ricercatore si è impuntato: se Oracle non fa quel che deve entro un paio di settimane, sarà il pubblico a giudicare la pericolosità del baco.
A ingarbugliare una situazione come al solito complicata arriva poi un nuovo rapporto su una falla zero-day, una vulnerabilità atta a colpire gli utenti di browser con installato il plugin Java (Java v1.7 Update 15 e Java v1.6 Update 41) e già attivamente sfruttata "in the wild".

L'exploit identificato dalla società di sicurezza FireEye prova a scaricare ed eseguire il trojan McRAT, modificando il sistema (nuove DLL, Registro di sistema alterato) così da garantirsi l'esecuzione a ogni riavvio. A mitigare i possibili rischi c'è la scarsa affidabilità dell'exploit dice FireEye, e nella maggior parte dei casi invece di beccarsi un'infezione l'utente sperimenta un crash del browser. Resta sempre valido il consiglio di disinstallare Java dal sistema nel caso in cui la VM non fosse necessaria.

Alfonso Maruccia
Notizie collegate
  • SicurezzaJava non è ancora sicuroLa virtual machine di Oracle appronta nuove barriere protettive contro il pericolo di falle ed exploit? Barriere superate nel giro di pochi giorni. Oracle ora punta a migliorare almeno la comunicazione con gli sviluppatori
  • SicurezzaFacebook vittima di JavaL'azienda bucata da un attacco perpetrato a danno dei PC di alcuni dipendenti. La falla (zero-day) usata dai criminali è stata chiusa e i dati degli utenti sono al sicuro, rassicura il social network
6 Commenti alla Notizia Java ancora bucato
Ordina