Alfonso Maruccia

Java, certificati senza certificazione

Un altro problema affligge la piattaforma Java: questa volta pi¨ che di una vulnerabilitÓ si tratta di una policy scarsamente attenta alla sicurezza nel controllo dei certificati digitali

Roma - Non bastasse la già problematica tendenza di Java a mettere in mostra vulnerabilità e falle zero day, un nuovo rischio per la virtual machine di Oracle arriva ora dagli archivi JAR firmati digitalmente con certificati revocati. Certificati che, a quanto pare, Java non si prende il disturbo di controllare a dovere.

Un archivio JAR contiene tutto il necessario a eseguire una applet Java dopo il download tramite browser web, e quello identificato da Eric Romang sul sito di un dizionario tedesco online (dict.tu-chemnitz.de) è risultato essere infetto con il kit di exploit g01pack.

Il codice malevolo viene camuffato da aggiornamento di sicurezza legittimo ("ClearWeb Security Update") firmato digitalmente da Clearsult Consulting, chiedendo all'utente di autorizzare l'esecuzione. Ma una volta concessa l'autorizzazione, l'archivio JAR procede a infettare la macchina con il malware.
Il certificato risulta firmato con una chiave privata autentica ma rubata, e tale chiave è stata revocata il 7 dicembre del 2012. Ma Java non controlla la data di revocazione di un certificato a meno che non si sia stata abilitata l'opzione dal Pannello di Controllo di Windows, e quindi l'utente potrebbe essere tratto facilmente in inganno da una funzionalità di sicurezza - quella dei certificati digitali, appunto - usata per scopi diametralmente opposti a quelli originari.

I problema dei certificati rubati - o firmati digitalmente con chiavi non più valide - è di quelli che si fanno sentire in seno all'intera industria informatica, e in attesa che Java modifichi (ancora) le impostazioni di sicurezza di default è caldamente consigliato attivare la verifica di revoca dei certificati nella configurazione della virtual machine.

Alfonso Maruccia
Notizie collegate
7 Commenti alla Notizia Java, certificati senza certificazione
Ordina