Bug Java? Mezzora per una patch

Un ricercatore di sicurezza mette pressione a Oracle dimostrando l'estrema facilità per la chiusura di una pericolosa vulnerabilità di sicurezza presente in Java. Che al momento è ancora aperta e pare resterà tale per mesi

Roma – Il ricercatore Adam Gowdiak torna all’attacco contro Oracle, o meglio contro i suoi tempi di reazione pachidermici nella chiusa di vulnerabilità di sicurezza Java estremamente pericolose. Basterebbe poco, pochissimo per metterci una pezza, suggerisce Gowdiak col suo lavoro, e Oracle non può far attendere gli utenti e l’industria IT per mesi per implementare una soluzione così banale.

Motivo del contendere è la falla Java scovata dallo stesso Gowdiak a settembre, un problema potenzialmente sfruttabile per aggirare la sandbox di sicurezza nelle versioni 5, 6 e 7 della virtual machine (Java SE): la “cura” per la vulnerabilità non è stata inclusa nell’ultimo ciclo di patch (ottobre), e per vederla occorrerà aspettare almeno fino a febbraio 2013.

Un tempo di attesa considerato inaccettabile, vista la pericolosità della falla, e in cui Gowdiak ha deciso di rigirare il coltello della sua abilità di coding sperimentando e valutando di persona gli sforzi effettivamente necessari a realizzare una patch risolutiva a prova di crash.

Gli esperimenti del ricercatore hanno evidentemente dato frutti, e Gowdiak ha scoperto quanto segue: il fix richiede una mezz’oretta di lavoro in totale, modifica appena 25 caratteri nel codice sorgente di Java e non sembra richiedere periodi estesi di test di affidabilità visto che la “logica” del codice non viene in alcun modo intaccata.

La speranza di Gowdiak è che Oracle si scuota e pubblichi una patch ufficiale ben prima di quanto previsto al momento: i dettagli del fix sono stati comunicati alla società USA, mentre quelli sulla vulnerabilità sono ancora privati. Almeno per il momento.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Wolf01 scrive:
    Mah, per me..
    Per me altro che hacker, cracker, fette biscottate o quant altro.Per me è stata Sony a rendere pubblica la key per dare un'ultima ventata di vendite alla console vista l'imminente PS4, perché chi va a comprare una PS3 adesso quando tra 6 mesi/1 anno c'è la nuova generazione? E via l'incentivo "compra la PS3 e craccati i giochi".
    • Michele Pola scrive:
      Re: Mah, per me..
      - Scritto da: Wolf01
      Per me altro che hacker, cracker, fette
      biscottate o quant
      altro.
      Per me è stata Sony a rendere pubblica la key per
      dare un'ultima ventata di vendite alla console
      vista l'imminente PS4, perché chi va a comprare
      una PS3 adesso quando tra 6 mesi/1 anno c'è la
      nuova generazione? E via l'incentivo "compra la
      PS3 e craccati i
      giochi".seeeee 6 mesi/1 anno... stanno in altissimo mare con la prossima console.Secondo me prima di metà 2014 non si vedrà nulla.Cercano di vendere ottimismo su questo, ma in realtà la PS3 rispetto alla PS2 è un stata un "flop" e in fondo in fondo Sony vorrebbe tenerla in vita più che piò e più rispetto al passato.
      • UDS scrive:
        Re: Mah, per me..
        - Scritto da: Michele Pola
        - Scritto da: Wolf01

        Per me altro che hacker, cracker, fette

        biscottate o quant

        altro.

        Per me è stata Sony a rendere pubblica la key
        per

        dare un'ultima ventata di vendite alla console

        vista l'imminente PS4, perché chi va a comprare

        una PS3 adesso quando tra 6 mesi/1 anno c'è la

        nuova generazione? E via l'incentivo "compra la

        PS3 e craccati i

        giochi".


        seeeee 6 mesi/1 anno... stanno in altissimo mare
        con la prossima
        console.
        Secondo me prima di metà 2014 non si vedrà nulla.Quindi sei mesi / un anno
        • Ciccio scrive:
          Re: Mah, per me..
          - Scritto da: UDS
          - Scritto da: Michele Pola

          Secondo me prima di metà 2014 non si vedrà
          nulla.

          Quindi sei mesi / un annoOttobre 2012 + 6 mesi = aprile 2013... Ottobre 2012 + 1 anno = ottobre 2013.. quindi non vedo il nesso fra "metà 2014" e "quindi sei mesi/un anno"...Sono stato un po' pignolo?
    • ThEnOra scrive:
      Re: Mah, per me..
      Se la tua teoria fosse fondata, sai quante cause legali si avvierebbero contro SCE?Immagino non ignori il fatto che i publisher pagano royalty a SCE per poter svilupare per la PS3, giusto?Rifletti!
      • NemoTizen scrive:
        Re: Mah, per me..
        si e sicuramente nel contratto con i produttori di gioco c'è scritto che sony fa il possibile per tutelarli ma non si assume nessuna responsabilità ecc.. ecc..
  • Young&Nerd scrive:
    Dove posso
    scaricare i giochi per PS3 crakakti??Li voglio, li voglio !!
  • prova123 scrive:
    Diciamola come va detta.
    Sony si è giocata la carta della pirateria. Siccome ha bilanci in profondo rosso, ha regalato la chiave per aprire la play3 e vendere più hw. Vedo in questo una bella vendetta trasversale in cul* alle sw house che non gli vogliono sviluppare giochi su psvita ( a basso prezzo :D ). Vedrete che per risollevarele sorti della psvita regalerà anche il modo per craccarla ... tanto le vende hw.
  • Gigio scrive:
    Ancora
    La chiave LV0 non è la Master key? Come quella rilasciata da Geohot tempo fa... e prontamente Sony è riuscita a tappare la falla (non so come).
  • Gigio scrive:
    Ancora
    La chiave LV0 non è la Master key? Come quella rilasciata da Geohot tempo fa... e prontamente Sony è riuscita a tappare la falla (non so come).
    • Star scrive:
      Re: Ancora
      GeoHot aveva rilasciato la chiave del Meta Loader (metldr) utilizzata per decriptare tutti i livelli sottostanti della chain of trust. Dal firmware 3.60 in poi la Sony ha spostato la COT direttamente sotto il LV0 (bypassando completamente il metldr) al di sopra del quale c'è solo il Boot Loader. La chiave con cui è criptato il bootldr è "fusa" all'interno della CPU in fabbrica ed è univoca per ciascuna console. La chiave LV0 invece può essere modificata ed è quello che hanno già fatto con i nuovi firmware pertanto solo ed esclusivamente coloro che erano rimasti ad una versione di firmware
      • me medesimo scrive:
        Re: Ancora
        quindi la notizia in definitiva non c'èche ha già modificato e ha un firmware inferire al 3.56continuerà a crackare gli altri si attaccanoquindi è anche inutile comprare una play3 con il miraggio di riuscire a crackarladico bene?
        • MZorzy scrive:
          Re: Ancora
          ovvero per chi è sopra il 3.55 cambia nulla, per ora- Scritto da: me medesimo ha un firmware inferire al 3.56 continuerà a crackare dico bene?
          • me medesimo scrive:
            Re: Ancora
            - Scritto da: MZorzy
            ovvero per chi è sopra il 3.55 cambia nulla, per
            ora

            - Scritto da: me medesimo
            ha un firmware inferire al 3.56 continuerà a
            crackare

            dico bene?io intendevo che.... se per questa "scoperta" della chiave LV0 ne può usufruire solo chi ha già la console modificata...cosa cambia?.....la notizia non c'è !!!
  • Francesco_Holy87 scrive:
    Della pirateria non me ne frega...
    Ma vorrei finalmente poter vedere gli mkv senza dove rinunciare a qualche partita di gioco online. Forse questa è la volta buona...
    • Sgabbio scrive:
      Re: Della pirateria non me ne frega...
      - Scritto da: Francesco_Holy87
      Ma vorrei finalmente poter vedere gli mkv senza
      dove rinunciare a qualche partita di gioco
      online. Forse questa è la volta
      buona..Ti compri un altra ps3 per sperimentare :D
      • Francesco_Holy87 scrive:
        Re: Della pirateria non me ne frega...
        Massì, cago oro :DA questo punto mi compro un HD multimediale e faccio prima!
    • maxsix scrive:
      Re: Della pirateria non me ne frega...
      - Scritto da: Francesco_Holy87
      Ma vorrei finalmente poter vedere gli mkv senza
      dove rinunciare a qualche partita di gioco
      online. Forse questa è la volta
      buona...PS3 Media server.
      • Francesco_Holy87 scrive:
        Re: Della pirateria non me ne frega...
        Lo conosco, ma ho l'ultima versione sw. Questo hack potrebbe risolvere il problema.
Chiudi i commenti