giovedì 27 settembre 2012

Vulnerabilità che interessa Java 5, 6 e 7 mette a rischio 1 miliardo di utenti


Ricercatori di sicurezza hanno scoperto una falla critica nel software Java di Oracle che permetterebbe agli hacker aggirare le misure di sicurezza in tutte le versioni più recenti del software. Il difetto è stato annunciato da Security Exploration, lo stesso team che ha recentemente trovato un buco di sicurezza in Java SE 7 che lascia agli agli attaccanti la possibilità di assumere il controllo completo del PC.

Ma questo ultimo exploit riguarda Java SE 5, 6, 7 distribuite nel corso degli ultimi otto anni. I ricercatori di Security Exploration, con sede in Polonia, hanno scoperto il difetto in Oracle Java Standard Edition (SE) e hanno sviluppato un proof of concept per questo difetto che consente di "bypassare completamente la sandbox Java di sicurezza", secondo l'amministratore delegato della società, Adam Gowdiak, aggiungendo che sono "un miliardo gli utenti a rischio".

Gowdiak scritto che Security Exploration ha tirato fuori con successo l'exploit su computer Windows 7 32-bit con tutte le patch in Firefox, Chrome, Internet Explorer, Opera e Safari. Anche se le prove sono state limitate a Windows 7 32-bit, Gowdiak detto a Computerworld che la falla sarebbe è sfruttabile su qualsiasi macchina con Java 5, 6, o 7 abilitata (sia che si tratta di Windows 7 64-bit, Mac OS X, Linux o Solaris).

Il bug consente agli aggressori di violare il sistema di sicurezza "type safety" nella Java Virtual Machine. "Una applet Java maligna o applicazione che sfrutta questo nuovo bug può essere eseguita senza limitazioni nel contesto di un processo di destinazione Java come ad esempio un browser Web", ha detto Gowdiak. "Un utente malintenzionato potrebbe quindi installare programmi, visualizzare, modificare o eliminare dati con i privilegi di un utente connesso."


Un utente malintenzionato a conoscenza della falla di sicurezza e di come sfruttarla potrebbe ospitare un attacco su un sito web appositamente predisposto o banner pubblicitario, utilizzando un'applicazione Java dannosa per attivare il buco e ottenere il controllo del sistema vulnerabile, convincedo l'utente a visitare un sito Web, in genere inducendolo a fare clic su un link in una email o in un messaggio di Instant Messenger.

Gowdiak ha detto che la vulnerabilità è stata valutata "critica" dal suo team. Gowdiak e il suo team hanno trovato un totale di 50 difetti Java. Mentre questo attacco più recente a quanto pare non è ancora sfruttato in natura, una vulnerabilità zero-day individuata il mese scorso è stata patchata da Oracle. Gowdiak ha rifiutato di discutere i dettagli tecnici per la preoccupazione che possa rendere più facile per i criminali sfruttare la falla negli attacchi basati su e-mail o Web.

Gli utenti Mac a rischio sono in particolare quelli con OS X 10.6.x Snow Leopard e versioni precedenti (da OS X 10.7.x in poi, Apple non installa per default Java). Oracle ha assicurato che sarà diffusa una patch con il prossimo aggiornamento sicurezza previsto per il 16 ottobre. Secondo Gowdiak però questo tempo è troppo lungo e gli utenti dovrebbero essere a conoscenza del rischio che corrono.

I consigli per proteggersi dagli attacchi sono sempre i medesimi: se non si utilizza è bene disinstallare Java; si consiglia di disabilitare o disinstallare il suo plugin dai browser in uso se il pacchetto Java è impiegato unicamente per eseguire applicazioni in ambito locale; ridurre al minimo il numero di versioni di Java installate sul compute e mantenendo in uso solo quelle strettamente necessarie.

E' anche interessante notare che sembra ci sia un pò di esibizionismo nella mailing list Full Disclosure del ricercatore Adam Gowdiak, che dice di aver scoperto il problema "esclusivamente" per l'imminente conferenza JavaOne 2012 di Oracle, che inizia il 30 settembre. Egli prende in giro anche Larry Ellison, co-Fondatore e Ceo della Oracle Corporation, scrivendo che la notizia della nuova falla spera non rovinerà il suo caffè mattutino.


1 commento: