www.MegaLab.it

Il quotidiano tedesco The H ha portato sotto i riflettori un episodio alquanto preoccupante martedì scorso.

Un esperto di sicurezza, tale Sami Koivu, ha infatti pubblicato in rete i dettagli di una vulnerabilità di Java che potrebbe essere sfruttata da un cracker per accedere al file system dell'utente tramite un'applet in esecuzione all'interno del browser web: una libertà che, per evidenti motivi di sicurezza, è generalmente impedita.

Nella dettagliata trattazione proposta, Koivu spiega che, facendo leva sul baco, un aggressore potrebbe riuscire a scatenare l'esecuzione di codice da remoto sul sistema della vittima e, di conseguenza, prenderne pieno controllo.

L'esperto ha completato il tutto con il codice sorgente di una demo innocua che modifica e sposta un file dal disco dell'utente in maniera pressoché automatica. Il codice funziona sotto Windows XP e Windows 7, mentre in ambiente Linux il successo è solo parziale.

L'esistenza della vulneabilità è stata confermata anche in Java 6 update 23, ovvero la release più recente.

Sapevano, ma sono restati a guardare

A destare scalpore, al di la del problema in sé, è il fatto che il difetto sia stato riportato privatamente ed accettato da Sun nel lontano 2008, ovvero oltre due anni addietro.

Ad oggi però, l'azienda (nel frattempo acquisita da Oracle) non si è ancora preoccupata di pubblicare una versione del software epurata dal problema, lasciando gli utenti completamente esposti.

La situazione, è presumibile, cambierà rapidamente ora che l'esistenza del baco è stata divulgata pubblicamente.

Proprio la sicurezza di Java è stata al centro di pesanti critiche sul finire dello scorso hanno: ad ottobre 2010 infatti, i laboratori Microsoft avevano segnalato che i tentativi d'aggressione rivolti a questa tecnologia erano divenuti più popolari perfino dei PDF "avvelenati".

Quel decimale mal gestito... dal 2001

Parallelamente, The Register ha segnalato un secondo problema nel codice dell'ambiente Java a causa del quale la macchina virtuale entra un ciclo infinito consumando il 100% del processore in caso fosse richiesta la conversione da stringa a decimale del valore 2.2250738585072012e-308.

Il baco, avvisa il bollettino ufficiale Oracle, potrebbe risultare particolarmente grave sui web server: in tali circostanze infatti, un utente ostile potrebbe ottenere un Denial of Service semplicemente passando il valore incriminato ad una pagina dinamica tramite querystring.

L'azienda ha proposto un update che consente di tutelare i sistemi da questo specifico problema.

Anche in questo caso, si parla di un problema noto in realtà da parecchi anni: alcuni utenti riportano addirittura che il difetto era stato segnalato a Sun addirittura nel 2001. In seguito alle numerose citazioni apparse in questi ultimi giorni in rete, la pagina in questione è però stata rimossa.