Java nasconde una grave minaccia per tutte le versioni di Windows. Secondo due diversi ricercatori, infatti, Java Web Start framework (JWSF, che semplifica lo sviluppo delle applicazioni) può essere sfruttato per creare siti pericolosi.
Java.
Come altri attacchi, anche in questo caso il primo passo è indurre l'utente a visitare una pagina web disegnata ad hoc o compromessa. Qui un tag HTML permetterebbe ad un malintenzionato di eseguire codice arbitrario pericoloso.
Tutti i browser esistenti sono in pericolo, proprio perché la vulnerabilità è nel plug-in, e non nel browser stesso. Disabilitare il plug-in non risolvere il problema, perché il componente usato come veicolo, JWSF, è installato separatamente, come parte dell'ambiente Java. In altre parole chiunque abbia una versione recente di Java è potenzialmente a rischio.
"Java.exe e javaw.exe supportano una parametro da linea di comando nascosto e non documentato. Permette di caricare una libreria JavaVM alternativa (jvm.dll o libjvm.so)", e saltare così tutte le misure di sicurezza.
Sun è stata informata del problema, e si attende ora un aggiornamento di Java. Tavis Ormandy, uno dei ricercatori, ha detto di aver diffuso le informazioni scoperte perché "è nell'interesse di tutti, tranne che in quelli del produttore". Il ricercatore ha anche creato una dimostrazione accessibile a tutti, a questo indirizzo.
Al momento esistono solo alcune soluzioni parziali, consigliate da Symantec. Si ritiene improbabile che possano essere colpiti anche Linux e Mac OS.
LTE e digitale terrestre fanno interferenza
Nasce a New York la Borsa degli smartphone
Telecom ha di nuovo evaso il Fisco? Allora è un vizio
Gears of War 3 in video, arriva nell'aprile 2011
Tablet di Google alle porte, Android nel cuore
Kin One e Kin Two, gli smartphone social di Microsoft
Future Soldier, la squadra Ghost con l'esoscheletro
Opera Mini arriva su iPhone, è tutto vero
Android su smartphone Atom, la scommessa di Intel
Apocalypse Now diventa un videogioco
Adobe Creative Suite 5, rinnovamento generale
Intel, il dopo socket LGA 1366 nel tardo 2011
HTML5, Chrome è già pronto, Explorer attendista
Promoted Tweets, ecco la pubblicità su Twitter
Atlantis Disk Master NAS F101, super economico
Apple aggiorna i MacBook Pro, ma non del tutto
Canon lavora ai nuovi super-teleobiettivi 400mm e 600mm Cellulare TTM Outlimits Solaris con pannello solare integrato Mio Cyclo 300 e Mio Cyclo 305 HC sono GPS da bicicletta Facebook vuole Opera per realizzare un nuovo browser? Microchip nei cetacei per studiare il clima e la fauna marina Le offerte 3 Italia per il Samsung Galaxy SIII in anteprima Steve Jobs geniale ma Cook è il capo perfetto per Apple Absinthe 2.0 per il jailbreak del Nuovo iPad e iOS 5.1.1 Google cancella 1,2 milioni di link pirata al mese TV a Ultra Alta Definizione: si parla già di standard Oracle contro LibreOffice, frondisti fuori dai piedi Una CPU x86 da Sun? No, Oracle ha cancellato tutto
Originariamente inviata da The_Patrix
Firefox + NoScript rulez
Originariamente inviata da The_Patrix
Firefox + NoScript rulez
Originariamente inviata da articolo
Tavis Ormandy, uno dei ricercatori, ha detto di aver diffuso le informazioni scoperte perché "è nell'interesse di tutti, tranne che in quelli del produttore"
Java credo fra molto tempo, Flash fra non molto.Originariamente inviata da Dumon
java e flash, quand'è che falliscono?
Originariamente inviata da Gurzo2007
ps allora si FF+noscript..perchè è l'unico browser che va in blocco con la pagina di test
Originariamente inviata da Gurzo2007
"è nell'interesse di tutti, tranne che in quelli del produttore"
che si è fumato mentre dichiarava questo?
se tale tools kit non è presente su altre piattaforme o implementato in modo differente, allora la frase "Si ritiene improbabile che possano essere colpiti anche Linux e Mac OS." potrebbe avere un fondamento
Kaspersky Pure, la sicurezza va oltre l'antivirus Freecom, se bruci l'hard disk ci pensiamo noi Cellulari meno sicuri, bucata la protezione COFEE, l'investigatore per PC finisce su torrent Adobe, Facebook e Twitter, paradiso dei criminali Basta dispositivi elettronici sugli aerei Nuova falla zero-day in MS Explorer, senza patch La sicurezza informatica costa 6,3 milioni al giorno Tecnologia militare di punta, bucata con 20 euro Anche l'Italia avrà la sua cyber-roccaforte di difesa
39 commenti
Commenti