Java non è ancora sicuro

Java non è ancora sicuro

La virtual machine di Oracle appronta nuove barriere protettive contro il pericolo di falle ed exploit? Barriere superate nel giro di pochi giorni. Oracle ora punta a migliorare almeno la comunicazione con gli sviluppatori
La virtual machine di Oracle appronta nuove barriere protettive contro il pericolo di falle ed exploit? Barriere superate nel giro di pochi giorni. Oracle ora punta a migliorare almeno la comunicazione con gli sviluppatori

Non si può negare che Oracle ci provi a migliorare la sicurezza di Java e relativi plugin per browser installati su centinaia di milioni di sistemi in tutto il mondo. Il problema, dicono i gli esperti di sicurezza, è che proprio non ci riesce e Java continua a rappresentare uno dei più gravi pericoli informatici attualmente in circolazione.

L'ultimo episodio di questa infinita telenovela sulle “insicurezze di Java” è scritto ancora una volta da Adam Gowdiak, ricercatore che si è in sostanza specializzato nella caccia (sempre fruttuosa) alle falle inserite nel codice del software. Gowdiak ha preso di mira i recenti miglioramenti approntati da Oracle, idee buone in teoria ma inutili in pratica.

Nell'ultimo aggiornamento Java rilasciato, infatti, l'azienda statunitense aveva approntato un meccanismo per inibire l'esecuzione di applet malevoli (prive di firma digitale) senza esplicita autorizzazione da parte dell'utente.

Funziona? Naturalmente no, dice Gowdiak, che per l'occasione ha realizzato un codice proof-of-concept in grado di bypassare la richiesta di autorizzazione per eseguire le succitate applet indipendentemente dall'utente. Il codice malevolo è risultato funzionante su una macchina Windows 7 con tutti gli ultimi aggiornamenti installati, sostiene ancora Gowdiak.

Java continua a essere vulnerabile, tanto che persino Microsoft consiglia di disabilitare il plugin sul proprio browser per evitare il rischio di cadere vittima di falsi update della virtual machine con intenzioni tutt'altro che amichevoli.

E se proprio i bachi non si possono far sparire, Oracle dice di essere impegnata a migliorare la “comunicazione” dei suoi sforzi di programmazione al vasto pubblico: il problema, ancora una volta, è la sensazione che l'azienda non abbia ben chiaro cosa fare e dire riguardo lo stato delle cose per Java.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

30 01 2013
Link copiato negli appunti