Il ricercatore Adam Gowdiak torna all’attacco contro Oracle, o meglio contro i suoi tempi di reazione pachidermici nella chiusa di vulnerabilità di sicurezza Java estremamente pericolose. Basterebbe poco, pochissimo per metterci una pezza, suggerisce Gowdiak col suo lavoro, e Oracle non può far attendere gli utenti e l’industria IT per mesi per implementare una soluzione così banale.
Motivo del contendere è la falla Java scovata dallo stesso Gowdiak a settembre, un problema potenzialmente sfruttabile per aggirare la sandbox di sicurezza nelle versioni 5, 6 e 7 della virtual machine (Java SE): la “cura” per la vulnerabilità non è stata inclusa nell’ultimo ciclo di patch (ottobre), e per vederla occorrerà aspettare almeno fino a febbraio 2013.
Un tempo di attesa considerato inaccettabile, vista la pericolosità della falla, e in cui Gowdiak ha deciso di rigirare il coltello della sua abilità di coding sperimentando e valutando di persona gli sforzi effettivamente necessari a realizzare una patch risolutiva a prova di crash.
Gli esperimenti del ricercatore hanno evidentemente dato frutti, e Gowdiak ha scoperto quanto segue: il fix richiede una mezz’oretta di lavoro in totale, modifica appena 25 caratteri nel codice sorgente di Java e non sembra richiedere periodi estesi di test di affidabilità visto che la “logica” del codice non viene in alcun modo intaccata.
La speranza di Gowdiak è che Oracle si scuota e pubblichi una patch ufficiale ben prima di quanto previsto al momento: i dettagli del fix sono stati comunicati alla società USA, mentre quelli sulla vulnerabilità sono ancora privati. Almeno per il momento.
Alfonso Maruccia
-
Della pirateria non me ne frega...
Ma vorrei finalmente poter vedere gli mkv senza dove rinunciare a qualche partita di gioco online. Forse questa è la volta buona...Francesco_Holy87Re: Della pirateria non me ne frega...
- Scritto da: Francesco_Holy87> Ma vorrei finalmente poter vedere gli mkv senza> dove rinunciare a qualche partita di gioco> online. Forse questa è la volta> buona..Ti compri un altra ps3 per sperimentare :DSgabbioRe: Della pirateria non me ne frega...
Massì, cago oro :DA questo punto mi compro un HD multimediale e faccio prima!Francesco_Holy87Re: Della pirateria non me ne frega...
- Scritto da: Francesco_Holy87> Ma vorrei finalmente poter vedere gli mkv senza> dove rinunciare a qualche partita di gioco> online. Forse questa è la volta> buona...PS3 Media server.maxsixRe: Della pirateria non me ne frega...
Lo conosco, ma ho l'ultima versione sw. Questo hack potrebbe risolvere il problema.Francesco_Holy87Ancora
La chiave LV0 non è la Master key? Come quella rilasciata da Geohot tempo fa... e prontamente Sony è riuscita a tappare la falla (non so come).GigioRe: Ancora
GeoHot aveva rilasciato la chiave del Meta Loader (metldr) utilizzata per decriptare tutti i livelli sottostanti della chain of trust. Dal firmware 3.60 in poi la Sony ha spostato la COT direttamente sotto il LV0 (bypassando completamente il metldr) al di sopra del quale c'è solo il Boot Loader. La chiave con cui è criptato il bootldr è "fusa" all'interno della CPU in fabbrica ed è univoca per ciascuna console. La chiave LV0 invece può essere modificata ed è quello che hanno già fatto con i nuovi firmware pertanto solo ed esclusivamente coloro che erano rimasti ad una versione di firmware <= 3.56 possono beneficiare di questa "scoperta". Chi ha aggiornato e le nuove console vendute no in quanto il solo modo per queste sarebbe scoprire la propria chiave del Boot Loader (impossibile essendo fisicamente dentro il proXXXXXre CELL) o sperare in qualche exploit magari ottenuto grazie all'analisi completa dei nuovi firmware.StarRe: Ancora
quindi la notizia in definitiva non c'èche ha già modificato e ha un firmware inferire al 3.56continuerà a crackare gli altri si attaccanoquindi è anche inutile comprare una play3 con il miraggio di riuscire a crackarladico bene?me medesimoRe: Ancora
ovvero per chi è sopra il 3.55 cambia nulla, per ora- Scritto da: me medesimo ha un firmware inferire al 3.56 continuerà a crackare dico bene?MZorzyAncora
La chiave LV0 non è la Master key? Come quella rilasciata da Geohot tempo fa... e prontamente Sony è riuscita a tappare la falla (non so come).GigioRe: Ancora
ha fatto una semplice lista bianca.SgabbioDiciamola come va detta.
Sony si è giocata la carta della pirateria. Siccome ha bilanci in profondo rosso, ha regalato la chiave per aprire la play3 e vendere più hw. Vedo in questo una bella vendetta trasversale in cul* alle sw house che non gli vogliono sviluppare giochi su psvita ( a basso prezzo :D ). Vedrete che per risollevarele sorti della psvita regalerà anche il modo per craccarla ... tanto le vende hw.prova123Dove posso
scaricare i giochi per PS3 crakakti??Li voglio, li voglio !!Young&NerdMah, per me..
Per me altro che hacker, cracker, fette biscottate o quant altro.Per me è stata Sony a rendere pubblica la key per dare un'ultima ventata di vendite alla console vista l'imminente PS4, perché chi va a comprare una PS3 adesso quando tra 6 mesi/1 anno c'è la nuova generazione? E via l'incentivo "compra la PS3 e craccati i giochi".Wolf01Re: Mah, per me..
- Scritto da: Wolf01> Per me altro che hacker, cracker, fette> biscottate o quant> altro.> Per me è stata Sony a rendere pubblica la key per> dare un'ultima ventata di vendite alla console> vista l'imminente PS4, perché chi va a comprare> una PS3 adesso quando tra 6 mesi/1 anno c'è la> nuova generazione? E via l'incentivo "compra la> PS3 e craccati i> giochi".seeeee 6 mesi/1 anno... stanno in altissimo mare con la prossima console.Secondo me prima di metà 2014 non si vedrà nulla.Cercano di vendere ottimismo su questo, ma in realtà la PS3 rispetto alla PS2 è un stata un "flop" e in fondo in fondo Sony vorrebbe tenerla in vita più che piò e più rispetto al passato.Michele PolaRe: Mah, per me..
- Scritto da: Michele Pola> - Scritto da: Wolf01> > Per me altro che hacker, cracker, fette> > biscottate o quant> > altro.> > Per me è stata Sony a rendere pubblica la key> per> > dare un'ultima ventata di vendite alla console> > vista l'imminente PS4, perché chi va a comprare> > una PS3 adesso quando tra 6 mesi/1 anno c'è la> > nuova generazione? E via l'incentivo "compra la> > PS3 e craccati i> > giochi".> > > seeeee 6 mesi/1 anno... stanno in altissimo mare> con la prossima> console.> Secondo me prima di metà 2014 non si vedrà nulla.Quindi sei mesi / un annoUDSRe: Mah, per me..
- Scritto da: UDS> - Scritto da: Michele Pola> > Secondo me prima di metà 2014 non si vedrà> nulla.> > Quindi sei mesi / un annoOttobre 2012 + 6 mesi = aprile 2013... Ottobre 2012 + 1 anno = ottobre 2013.. quindi non vedo il nesso fra "metà 2014" e "quindi sei mesi/un anno"...Sono stato un po' pignolo?CiccioRe: Mah, per me..
Se la tua teoria fosse fondata, sai quante cause legali si avvierebbero contro SCE?Immagino non ignori il fatto che i publisher pagano royalty a SCE per poter svilupare per la PS3, giusto?Rifletti!ThEnOraRe: Mah, per me..
si e sicuramente nel contratto con i produttori di gioco c'è scritto che sony fa il possibile per tutelarli ma non si assume nessuna responsabilità ecc.. ecc..NemoTizenGrazie, il tuo commento è in fase di approvazioneGrazie, il tuo commento è stato pubblicatoCommento non inviatoGrazie per esserti iscritto alla nostra newsletterOops, la registrazione alla newsletter non è andata a buon fine. Riprova.Leggi gli altri commentiPubblicato il 24 ott 2012Ti potrebbe interessare