Redmond (USA) – Microsoft ha corretto una falla di sicurezza scoperta nella sua Virtual Machine (VM), un’implementazione dell’interprete run-time di Java inclusa in molte versioni di Windows e di Internet Explorer.
La vulnerabilità, classificata da Microsoft con il massimo grado di rischio, interessa tutte le versioni della VM e, secondo quanto descritto da Microsoft nel bollettino MS03-01 , consiste in un mancato controllo, da parte del componente ByteCode Verifier, di certi tipi di codice malevolo nelle applet Java in esecuzione.
Un aggressore può sfruttare la debolezza attraverso la creazione di una pagina Web contenente un’applet Java malevola che, una volta aperta, può consentirgli di eseguire comandi a sua scelta con gli stessi privilegi dell’utente locale.
Fra i fattori mitiganti Microsoft cita il fatto che l’aggressore deve persuadere l’utente a visitare un sito Web sotto il suo controllo e che le applet Java sono disabilitate nei Restricted Sites Zone e con le versioni di Outlook e Outlook Express più recenti o a cui sia stato applicato il security pack Outlook Email Security Update .
Per risolvere il problema, Microsoft ha rilasciato una nuova versione della VM, la 3810, che può essere scaricata attraverso Windows Update .
Lo scorso anno Microsoft ha corretto oltre una decina di vulnerabilità della sua VM, otto delle quali lo scorso dicembre.
Sun ha recentemente chiesto ad una corte federale americana di impedire a Microsoft l’aggiornamento della sua Java virtual machine, questo persino in caso di gravi bug di sicurezza. Sun, che considera la VM di Microsoft troppo obsoleta, spera di obbligare la propria avversaria ad includere in Windows il proprio Java Runtime Environment. L’ingiunzione chiesta da Sun è attualmente al vaglio di una corte d’appello .
Microsoft ha rilasciato altri due bollettini di sicurezza: uno, l’ MS03-012 descrive una seria vulnerabilità di Microsoft Proxy Server 2.0 e Microsoft ISA Server che potrebbe essere sfruttata da cracker per attacchi di tipo denial of service; l’altro è un aggiornamento dell’ MS00-084 riguardante una vulnerabilità di tipo Cross Site Scripting in Microsoft Indexing Services for Windows 2000 e Microsoft Indexing Services for Windows NT 4.0.