Santa Clara (USA) – Sun ha corretto sette vulnerabilità di sicurezza nelle versioni 1.5.x e 1.4.x e 1.3.x del Java Runtime Environment, il software che include la macchina virtuale necessaria per far girare le applet e le applicazioni Java.
Cinque delle sette falle sono state classificate da FrSIRT della massima gravità, e questo perché potrebbero essere sfruttate da remoto per bypassare le restrizioni di sicurezza e, in certi casi, prendere il pieno controllo del sistema vulnerabile .
Due debolezze, descritte in questo advisory ufficiale , sono relative alla cosiddetta serialization , e potrebbero consentire ad un aggressore di leggere, scrivere o eseguire dei file a propria scelta inducendo l’utente a visitare una pagina web contenente una applet maligna.
Le altre falle “critiche”, descritte qui , sono causate dalla non corretta gestione di immagini di grandi dimensioni, di array malformati e di valori negativi : in tutti e tre i casi un cracker potrebbe essere in grado di eseguire del codice a sua scelta inducendo l’utente a visitare una certa pagina web.
Infine, le due vulnerabilità meno gravi , giudicate di rischio moderato, potrebbero rivelare a terzi informazioni personali.
I problemi sono stati corretti da Sun con il rilascio di JDK/JRE 5.0 Upgrade 8, SDK/JRE 1.4.2_13 e SDK/JRE 1.3.1_19. In alternativa, gli utenti possono aggiornare JDK e JRE alla nuova versione 6 , scaricabile da questa pagina .