Java ancora vulnerabile, nuova falla di sicurezza

Poco tempo fa era stata scoperta una grave falla di sicurezza poi risolta da Oracle con l’Update 11, il fix in questione ha pero’ aiutato solo parzialmente ma in realtà la vulnerabilità esiste ancora.

La falla riguardava la possibilità di bypassare la sandbox di Java, ovvero l’area limite utilizzabile da un programma senza poter accedere alle altre risorse del computer.

Oracle è intervenuta con l’update 11 ma pare che la falla sia stata risolta solo in parte e che un hacker di Security Exploitation sia ancora in grado di sfruttare delle vulnerabilità per bypassare la sandbox disabilitando il sistema di sicurezza così da avere accesso alle altre risorse del computer che sta eseguendo il codice Java.

Una falla abbastanza pericolosa visto che alcuni siti richiedono Java per l’esecuzione di plug-in e applet, di conseguenza potrebbero esserci dei rischi semplicemente visitando una pagina web con Java abilitato.

Ecco l’email originale inviata dall’hacker che ha scoperto la vulnerabilità:

Hello All,

This post might be interesting for those concerned about the state of Oracle’s Java SE security. We have successfully confirmed that a complete Java security sandbox bypass can be still gained under the recent version of Java 7 Update 11 [1] (JRE version 1.7.0_11-b21).

MBeanInstantiator bug (or rather a lack of a fix for it [2][3]) turned out to be quite inspirational for us. However, instead of relying on this particular bug, we have decided to dig our own issues. As a result, two new security vulnerabilities (51 and 52) were spotted in a recent version of Java SE 7 code and they were reported to Oracle today [4] (along with a working Proof of Concept code).

Thank you.

Best Regards Adam Gowdiak

 




Tags:

Rispondi

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.