Bug Java? Mezzora per una patch

Un ricercatore di sicurezza mette pressione a Oracle dimostrando l'estrema facilità per la chiusura di una pericolosa vulnerabilità di sicurezza presente in Java. Che al momento è ancora aperta e pare resterà tale per mesi
Un ricercatore di sicurezza mette pressione a Oracle dimostrando l'estrema facilità per la chiusura di una pericolosa vulnerabilità di sicurezza presente in Java. Che al momento è ancora aperta e pare resterà tale per mesi

Il ricercatore Adam Gowdiak torna all’attacco contro Oracle, o meglio contro i suoi tempi di reazione pachidermici nella chiusa di vulnerabilità di sicurezza Java estremamente pericolose. Basterebbe poco, pochissimo per metterci una pezza, suggerisce Gowdiak col suo lavoro, e Oracle non può far attendere gli utenti e l’industria IT per mesi per implementare una soluzione così banale.

Motivo del contendere è la falla Java scovata dallo stesso Gowdiak a settembre, un problema potenzialmente sfruttabile per aggirare la sandbox di sicurezza nelle versioni 5, 6 e 7 della virtual machine (Java SE): la “cura” per la vulnerabilità non è stata inclusa nell’ultimo ciclo di patch (ottobre), e per vederla occorrerà aspettare almeno fino a febbraio 2013.

Un tempo di attesa considerato inaccettabile, vista la pericolosità della falla, e in cui Gowdiak ha deciso di rigirare il coltello della sua abilità di coding sperimentando e valutando di persona gli sforzi effettivamente necessari a realizzare una patch risolutiva a prova di crash.

Gli esperimenti del ricercatore hanno evidentemente dato frutti, e Gowdiak ha scoperto quanto segue: il fix richiede una mezz’oretta di lavoro in totale, modifica appena 25 caratteri nel codice sorgente di Java e non sembra richiedere periodi estesi di test di affidabilità visto che la “logica” del codice non viene in alcun modo intaccata.

La speranza di Gowdiak è che Oracle si scuota e pubblichi una patch ufficiale ben prima di quanto previsto al momento: i dettagli del fix sono stati comunicati alla società USA, mentre quelli sulla vulnerabilità sono ancora privati. Almeno per il momento.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

24 10 2012
Link copiato negli appunti