C’è una pericolosa vulnerabilità di sicurezza in Java, e questa non è certo una novità . Questa volta, a fare notizia è piuttosto il fatto che la falla sia stata messa in vendita sui forum dell’underground telematico, a una cifra non meglio specificata ma congrua con il tipo di “business” delle falle Java funzionanti.
A scovare la peculiare offerta è Brian Krebs, che nei giorni scorsi aveva già diffuso la notizia sulla vendita di una vulnerabilità XSS su Yahoo! Mail: l’ignoto scopritore dice che la falla funziona solo sull’ultima versione disponibile della virtual machine Oracle (Java JRE 7 Update 9), mentre non è presente sulle release precedenti.
I pochi dettagli comunicati dicono che la vulnerabilità si trova nel componente MidiDevice.Info, normalmente responsabile della gestione degli input e output audio: grazie a un exploit apposito è possibile eseguire codice da remoto e prendere il controllo della macchina bersaglio, dice, con l’esecuzione del codice che risulta “molto affidabile” e funziona su tutte e 7 le versioni di Java testate.
Lo smanettone ha provato l’affidabilità della falla su Firefox e Internet Explorer con Windows 7, mentre nulla viene detto a riguardo di Google Chrome. La vulnerabilità verrà messa in vendita una sola volta, dice l’offerente, con un prezzo di almeno “cinque cifre” – il minimo sindacale per questa classe di bug di sicurezza ad alto impatto demografico.
In attesa dell’intervento di Oracle, Krebs consiglia agli utenti di disinstallare Java dal proprio sistema – soprattutto su Windows, e soprattutto nel caso non raro in cui non si abbia la necessità di fare un uso pratico della virtual machine.
Alfonso Maruccia
Ti potrebbe interessare
29 nov 2012