Nelle versioni 5 e 1.4.x di Java si cela una pericolosa vulnerabilità di sicurezza che potrebbe essere sfruttata da un aggressore per compromettere un PC remoto e prenderne il controllo.
In questo advisory FrSIRT spiega che la falla è causata da un errore non specificato nel componente Java Web Start sfruttabile da un programma maligno per sovrascrivere qualsiasi file (incluso “.java.policy”) di cui l’utente abbia i diritti in scrittura: questo consente al programma di attivare applet o applicazioni Java Web Start a loro volta in grado di eseguire del codice con gli stessi permessi dell’utente locale.
Scoperta dall’esperto di sicurezza John Heasman di NGSSoftware , la debolezza si annida nelle versioni 5.0 Update 11 e precedenti di JDK e JRE e nelle versioni 1.4.2_13 e precedenti di JRE e SDK. Il problema è stato corretto nelle ultime release di Java 5 e 1.4.x disponibili rispettivamente qui e qui . Apparentemente immune al problema Java 6 .
Ti potrebbe interessare
3 lug 2007