Non si può negare che Oracle ci provi a migliorare la sicurezza di Java e relativi plugin per browser installati su centinaia di milioni di sistemi in tutto il mondo. Il problema, dicono i gli esperti di sicurezza, è che proprio non ci riesce e Java continua a rappresentare uno dei più gravi pericoli informatici attualmente in circolazione.
L’ultimo episodio di questa infinita telenovela sulle “insicurezze di Java” è scritto ancora una volta da Adam Gowdiak, ricercatore che si è in sostanza specializzato nella caccia (sempre fruttuosa) alle falle inserite nel codice del software. Gowdiak ha preso di mira i recenti miglioramenti approntati da Oracle, idee buone in teoria ma inutili in pratica.
Nell’ultimo aggiornamento Java rilasciato, infatti, l’azienda statunitense aveva approntato un meccanismo per inibire l’esecuzione di applet malevoli (prive di firma digitale) senza esplicita autorizzazione da parte dell’utente.
Funziona? Naturalmente no, dice Gowdiak, che per l’occasione ha realizzato un codice proof-of-concept in grado di bypassare la richiesta di autorizzazione per eseguire le succitate applet indipendentemente dall’utente. Il codice malevolo è risultato funzionante su una macchina Windows 7 con tutti gli ultimi aggiornamenti installati, sostiene ancora Gowdiak.
Java continua a essere vulnerabile, tanto che persino Microsoft consiglia di disabilitare il plugin sul proprio browser per evitare il rischio di cadere vittima di falsi update della virtual machine con intenzioni tutt’altro che amichevoli.
E se proprio i bachi non si possono far sparire, Oracle dice di essere impegnata a migliorare la “comunicazione” dei suoi sforzi di programmazione al vasto pubblico: il problema, ancora una volta, è la sensazione che l’azienda non abbia ben chiaro cosa fare e dire riguardo lo stato delle cose per Java.
Alfonso Maruccia