venerdì 9 aprile 2010

Vulnerabilità di tipo zeroday su Java

Varie fonti riportano la notizia di una grave vulnerabilità di Java che espone gli utenti a semplici attacchi Web-based che potrebbero portare a un compromissione completa del sistema interessato. 

Tavis Ormandy di Google e Ruben Santamarta hanno scoperto indipendentemente questo problema e ne hanno dato notizia in due post separati. In particolare Ormandy, ha spiegato che ha deciso di pubblicare la notizia quando Sun ha rifiutato di rilasciare una correzione rapida, Ormandy spiega: "Sun è stata informata di questa vulnerabilità, tuttavia, mi hanno detto che non considerano questa vulnerabilità ad alta priorità e quindi non modificheranno il loro ciclo trimestrale patch."

La falla, si verifica perché il plugin per il browser Java (javaws.exe) gira senza validare i parametri a riga di comando. Quindi, questi parametri possono essere controllati da pirati informatici attraverso tag HTML appositamente predisposti all'interno di pagine Web.

Sembrano essere vulnerabili tutte le versioni di Java Se a partire dalla 6 update 10. Al momento, in accordo con i post di Ormandy e Santamara, l'unica soluzione possibile risulta essere quella di disabilitare su linux e Windows la componente javaws/javaws.exe. Inoltre si può disabilitare il Deployment Toolkit per evitare installazioni non volute.

Nessun commento:

Posta un commento

http://www.wikio.it