Java, la falla a cinque cifre

Java, la falla a cinque cifre

Una nuova vulnerabilità di sicurezza presente in Java emerge dall'underground telematico, con lo scopritore che chiede una cifra considerevole per la vendita e tutti i dettagli
Una nuova vulnerabilità di sicurezza presente in Java emerge dall'underground telematico, con lo scopritore che chiede una cifra considerevole per la vendita e tutti i dettagli

C’è una pericolosa vulnerabilità di sicurezza in Java, e questa non è certo una novità . Questa volta, a fare notizia è piuttosto il fatto che la falla sia stata messa in vendita sui forum dell’underground telematico, a una cifra non meglio specificata ma congrua con il tipo di “business” delle falle Java funzionanti.

A scovare la peculiare offerta è Brian Krebs, che nei giorni scorsi aveva già diffuso la notizia sulla vendita di una vulnerabilità XSS su Yahoo! Mail: l’ignoto scopritore dice che la falla funziona solo sull’ultima versione disponibile della virtual machine Oracle (Java JRE 7 Update 9), mentre non è presente sulle release precedenti.

I pochi dettagli comunicati dicono che la vulnerabilità si trova nel componente MidiDevice.Info, normalmente responsabile della gestione degli input e output audio: grazie a un exploit apposito è possibile eseguire codice da remoto e prendere il controllo della macchina bersaglio, dice, con l’esecuzione del codice che risulta “molto affidabile” e funziona su tutte e 7 le versioni di Java testate.

Lo smanettone ha provato l’affidabilità della falla su Firefox e Internet Explorer con Windows 7, mentre nulla viene detto a riguardo di Google Chrome. La vulnerabilità verrà messa in vendita una sola volta, dice l’offerente, con un prezzo di almeno “cinque cifre” – il minimo sindacale per questa classe di bug di sicurezza ad alto impatto demografico.

In attesa dell’intervento di Oracle, Krebs consiglia agli utenti di disinstallare Java dal proprio sistema – soprattutto su Windows, e soprattutto nel caso non raro in cui non si abbia la necessità di fare un uso pratico della virtual machine.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

29 11 2012
Link copiato negli appunti