Java, certificati senza certificazione

Non bastasse la già problematica tendenza di Java a mettere in mostra vulnerabilità e falle zero day, un nuovo rischio per la virtual machine di Oracle arriva ora dagli archivi JAR firmati digitalmente con certificati revocati. Certificati che, a quanto pare, Java non si prende il disturbo di controllare a dovere.

Un archivio JAR contiene tutto il necessario a eseguire una applet Java dopo il download tramite browser web, e quello identificato da Eric Romang sul sito di un dizionario tedesco online ( dict.tu-chemnitz.de ) è risultato essere infetto con il kit di exploit g01pack .

Il codice malevolo viene camuffato da aggiornamento di sicurezza legittimo (“ClearWeb Security Update”) firmato digitalmente da Clearsult Consulting, chiedendo all'utente di autorizzare l'esecuzione. Ma una volta concessa l'autorizzazione, l'archivio JAR procede a infettare la macchina con il malware.

Il certificato risulta firmato con una chiave privata autentica ma rubata, e tale chiave è stata revocata il 7 dicembre del 2012. Ma Java non controlla la data di revocazione di un certificato a meno che non si sia stata abilitata l'opzione dal Pannello di Controllo di Windows, e quindi l'utente potrebbe essere tratto facilmente in inganno da una funzionalità di sicurezza – quella dei certificati digitali, appunto – usata per scopi diametralmente opposti a quelli originari.

I problema dei certificati rubati – o firmati digitalmente con chiavi non più valide – è di quelli che si fanno sentire in seno all'intera industria informatica, e in attesa che Java modifichi (ancora) le impostazioni di sicurezza di default è caldamente consigliato attivare la verifica di revoca dei certificati nella configurazione della virtual machine.

Alfonso Maruccia