Crepa nella MS Virtual Machine

Microsoft rilascia una versione aggiornata della propria macchina virtuale Java, inclusa in quasi tutte le versioni di Windows, che chiude una vulnerabilità. Sistemati anche alcuni bachi


Redmond (USA) – Microsoft ha corretto una falla di sicurezza scoperta nella sua Virtual Machine (VM), un’implementazione dell’interprete run-time di Java inclusa in molte versioni di Windows e di Internet Explorer.

La vulnerabilità, classificata da Microsoft con il massimo grado di rischio, interessa tutte le versioni della VM e, secondo quanto descritto da Microsoft nel bollettino MS03-01 , consiste in un mancato controllo, da parte del componente ByteCode Verifier, di certi tipi di codice malevolo nelle applet Java in esecuzione.

Un aggressore può sfruttare la debolezza attraverso la creazione di una pagina Web contenente un’applet Java malevola che, una volta aperta, può consentirgli di eseguire comandi a sua scelta con gli stessi privilegi dell’utente locale.

Fra i fattori mitiganti Microsoft cita il fatto che l’aggressore deve persuadere l’utente a visitare un sito Web sotto il suo controllo e che le applet Java sono disabilitate nei Restricted Sites Zone e con le versioni di Outlook e Outlook Express più recenti o a cui sia stato applicato il security pack Outlook Email Security Update .

Per risolvere il problema, Microsoft ha rilasciato una nuova versione della VM, la 3810, che può essere scaricata attraverso Windows Update .

Lo scorso anno Microsoft ha corretto oltre una decina di vulnerabilità della sua VM, otto delle quali lo scorso dicembre.

Sun ha recentemente chiesto ad una corte federale americana di impedire a Microsoft l’aggiornamento della sua Java virtual machine, questo persino in caso di gravi bug di sicurezza. Sun, che considera la VM di Microsoft troppo obsoleta, spera di obbligare la propria avversaria ad includere in Windows il proprio Java Runtime Environment. L’ingiunzione chiesta da Sun è attualmente al vaglio di una corte d’appello .

Microsoft ha rilasciato altri due bollettini di sicurezza: uno, l’ MS03-012 descrive una seria vulnerabilità di Microsoft Proxy Server 2.0 e Microsoft ISA Server che potrebbe essere sfruttata da cracker per attacchi di tipo denial of service; l’altro è un aggiornamento dell’ MS00-084 riguardante una vulnerabilità di tipo Cross Site Scripting in Microsoft Indexing Services for Windows 2000 e Microsoft Indexing Services for Windows NT 4.0.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Requisiti...
    "Thread Checker 1.0 è disponibile qui al prezzo di 1.198 dollari USA per una licenza commerciale per singolo utente e comprende Intel VTune Performance Analyzer. Richiede Windows 2000 o XP Professional." - Direttore GeneraleE per linux? - Product managerMa che, dobbiamo spendere per sviluppare il software per quei tre scrocconi ... che passino i sabato sera a debuggarsi il loro codice.... - Direttore GeneraleGiusto! figurarsi se pagano per il software loro...
    • Anonimo scrive:
      Re: Requisiti...
      - Scritto da: Anonimo

      "Thread Checker 1.0 è disponibile qui al
      prezzo di 1.198 dollari USA per una licenza
      commerciale per singolo utente e comprende
      Intel VTune Performance Analyzer. Richiede
      Windows 2000 o XP Professional."


      - Direttore Generale
      E per linux?
      - Product manager
      Ma che, dobbiamo spendere per sviluppare il
      software per quei tre scrocconi ... che
      passino i sabato sera a debuggarsi il loro
      codice....
      - Direttore Generale
      Giusto! figurarsi se pagano per il software
      loro...sei un troll totalmente OTRedazioneeeeee
    • Anonimo scrive:
      Re: Requisiti...
      - Scritto da: Anonimo

      "Thread Checker 1.0 è disponibile qui al
      prezzo di 1.198 dollari USA per una licenza
      commerciale per singolo utente e comprende
      Intel VTune Performance Analyzer. Richiede
      Windows 2000 o XP Professional."


      - Direttore Generale
      E per linux?
      - Product manager
      Ma che, dobbiamo spendere per sviluppare il
      software per quei tre scrocconi ... che
      passino i sabato sera a debuggarsi il loro
      codice....
      - Direttore Generale
      Giusto! figurarsi se pagano per il software
      loro...Beh ma non è colpa di Intel se Linux è obsoleto
  • Anonimo scrive:
    NON CI CREDO
    "Con i tool tradizionali - ha spiegato Intel - gli sviluppatori devono tirare a indovinare per individuare il punto del codice sorgente in cui inserire trap."Ragazzi, ditemi che non è vero....A quanto ho capito, quindi, finora le applicazioni sono state scritte "a c*lo", cioè speriamo che giri.....non male....
    • Anonimo scrive:
      Re: NON CI CREDO
      Magari sono quelli di Intel che raccontano balle per venderti il loro bellissimo (e carissimo) pacchetto...
    • Anonimo scrive:
      Re: NON CI CREDO

      Ragazzi, ditemi che non è vero....infatti, se non sai codare in multithread non hai capito di cosa parlano :)
Chiudi i commenti