Su Mac OS X Java è ancora bucato

La falla è nota da mesi, è già stata corretta ma Apple non ha ancora provveduto ad aggiornare adeguatamente il sistema operativo dei suoi Mac nonostante il corposo update di alcune settimane fa
La falla è nota da mesi, è già stata corretta ma Apple non ha ancora provveduto ad aggiornare adeguatamente il sistema operativo dei suoi Mac nonostante il corposo update di alcune settimane fa

Windows sarà anche il sistema operativo più bersagliato e bucato della storia dell’informatica ma in quanto a tempi di aggiornamento e sistemazione di falle varie Apple non sembra seconda a Microsoft. Prendi ad esempio una vulnerabilità Java nota già ad agosto dell’anno scorso, subito patchata da Sun ma ancora “viva” (e pericolosa) nei Mac persino dopo la cura da cavallo del Security Update 2009-001 .

Il ricercatore Julien Tinnes avverte della persistenza del problema evidenziandone la pericolosità e si lamenta del fatto che non sia stato risolto con l’update di cui sopra: “Si tratta di una pura vulnerabilità Java”, scrive Tinnes, spiegando che “questo significa avere la possibilità di scrivere un exploit affidabile al 100% in puro codice Java. Questo exploit funzionerà su tutte le piattaforme, tutte le architetture e tutti i browser”.

Ma se sugli altri sistemi operativi il problema è già stato risolto e la stessa Sun ha aggiornato i runtime Java eliminando quella che secondo Secunia è una vulnerabilità ad alta criticità , su Mac OS X il baco continua a perdurare ed è stato anche protagonista del CanSecWest di quest’anno. L’universalità della falla è rafforzata dal fatto che essa riguarda svariate implementazioni di Java incluse OpenJDK, GIJ, Icedtea e la versione “ufficiale” di Sun.

La falla è pericolosa, e in circolazione c’è anche un codice proof-of-concept in grado di sfruttarla con successo. In attesa che Apple decida di risolvere il problema con gli interpreti Java inclusi su Mac OS X i consigli più gettonati per porre rimedio al problema ed evitare di correre rischi includono la disabilitazione tout-court dell’interprete sui vari browser e l’utilizzo di plug-in “ammazza-script” come NoScript disponibile su Mozilla Firefox.

Falla a parte, il problema principale evidenziato per l’occasione dagli esperti è sempre il solito, e cioè i tempi e le politiche di rilascio degli update di sicurezza seguite da Apple. Come si giustifica un ritardo di quasi un anno per la correzione di un baco altrove già risolto? Secondo Tinnes la ragione principale sarebbe la tendenza degli sviluppatori web a costruire il proprio codice a partire da versioni specifiche di Java, i cui update possono causare grattacapi per quanto riguarda la retro-compatibilità. “Questo – spiega – potrebbe essere il motivo per cui gli update al Java di Apple sono così infrequenti”.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

21 05 2009
Link copiato negli appunti