Redmond (USA) – La Virtual Machine (VM) Java di Microsoft sembra destinata a confermarsi uno degli anelli più deboli per la sicurezza degli utenti, e questo nonostante sia uno dei componenti più “stagionati” di Windows e Internet Explorer.
Dopo le falle corrette alla fine di settembre, questa volta Microsoft deve rattoppare la sua VM in otto punti, tutti descritti nel bollettino di sicurezza MS02-069 .
Di queste vulnerabilità, una è stata classificata con il massimo fattore di rischio (critical), una di rischio elevato (important), due di rischio moderato (moderate) e tre di basso rischio (low).
Secondo quanto riporta il big di Redmond, un aggressore potrebbe sfruttare tutte e otto le falle sfruttando come vettore dell’attacco una pagina Web o una e-mail HTML. Nei casi più gravi il cracker può essere in grado di prendere il totale controllo del sistema remoto o di rubare informazioni.
Le vulnerabilità interessano tutte le versioni della VM fino alla 5.0.3805. La nuova VM, scaricabile attraverso il Windows Update, porta invece il numero di build 3809. Per conoscere quale versione della VM sia installata nel proprio sistema è possibile lanciare da una shell dei comandi il programma jview e verificare il numero che viene riportato nelle prime righe dell’output.
Nella giornata di ieri Microsoft ha annunciato la disponibilità di altri due bollettini di sicurezza: l’ MS02-070 , che riguarda una vulnerabilità contenuta nel protocollo Server Message Block (SMB) di Windows 2000 e XP, e l’ MS02-071 , che riguarda invece una falla contenuta nel modo in cui i processi di Windows NT4/2000/XP gestiscono messaggi di tipo “WM_TIMER”. Nel primo caso Microsoft ha classificato il problema come di rischio moderato, mentre nel secondo caso il grado di pericolosità è più elevato (important) a causa del fatto che un aggressore potrebbe sfruttare la breccia per guadagnare i massimi privilegi (system) e prendere il controllo del computer.
Ti potrebbe interessare
13 dic 2002