Sicurezza, due bug per Java
![[img]](/mediamytech/006010004505.jpg)
Aggiornare, subito Difendetevi!» Sicurezza XML
Protezioni precarie? Il plugin Java è parte integrante dell’ambiente di sviluppo Java 2: i principali browser Web lo utilizzano per visualizzare applicazioni Java, ovvero le applet previste dalle pagine Web erogate dai server Web. È in pratica un motore d’esecuzione del codice Java.
Il bug più grave permette ad un’applet non fidata di elevare i propri privilegi mediante il richiamo di codice Java attraverso un JavaScript: con questo metodo, ad esempio, è possibile che un’applet maligna abbia il permesso di leggere e scrivere file, o eseguire applicazioni con i privilegi dell’utente che l’ha lanciata. Le versioni di Jre (e di Sdk, il kit di sviluppo software più pertinente a chi sviluppa in Java) vulnerabili sono la 1.4.2, 1.4.1_06 e precedenti, tutte le release 1.4.0 e 1.3.1_12 e precedenti, usate insieme a Internet Explorer. Per esclusione, c’è quindi da pensare che il bug non riguardi Jre come plugin di Mozilla e altri browser.
Il secondo bug permette a un’applet non fidata di interagire con un’altra applet nella stessa pagina Web, con il pericolo di fare richiamare a quest’ultima risorse non previste dal proprio codice (ad esempio, file o altre pagine Web). Le versioni interessate sono Jre e Sdk 1.4.2_05 e precedenti, tutte le versioni 1.4.1 e 1.4.0, e la 1.3.1_12 e precedenti per Windows, Linux e Solaris.
La danese Secunia definisce “altamente critici” i bug, che permettono di aggirare le impostazioni di sicurezza previste e di accedere da remoto ai sistemi vulnerabili: occorre quindi scaricare l’ultima versione del runtime Java, attualmente la 1.4.2_06.
Ancora nessun commento.