c.m.g
25-10-2012, 17:03
mercoledì 24 ottobre 2012
Un ricercatore di sicurezza mette pressione a Oracle dimostrando l'estrema facilità per la chiusura di una pericolosa vulnerabilità di sicurezza presente in Java. Che al momento è ancora aperta e pare resterà tale per mesi
Roma - Il ricercatore Adam Gowdiak torna all'attacco contro Oracle, o meglio contro i suoi tempi di reazione pachidermici nella chiusa di vulnerabilità di sicurezza Java estremamente pericolose. Basterebbe poco, pochissimo per metterci una pezza, suggerisce Gowdiak col suo lavoro, e Oracle non può far attendere gli utenti e l'industria IT per mesi per implementare una soluzione così banale.
Motivo del contendere è la falla Java scovata (http://punto-informatico.it/3614139/PI/News/java-buco-perpetuo.aspx) dallo stesso Gowdiak a settembre, un problema potenzialmente sfruttabile per aggirare la sandbox di sicurezza nelle versioni 5, 6 e 7 della virtual machine (Java SE): la "cura" per la vulnerabilità non è stata inclusa nell'ultimo ciclo di patch (ottobre), e per vederla occorrerà aspettare almeno fino a febbraio 2013.
Un tempo di attesa considerato inaccettabile, vista la pericolosità della falla, e in cui Gowdiak ha deciso di rigirare il coltello della sua abilità di coding sperimentando (http://www.h-online.com/security/news/item/Security-researcher-experiments-with-patching-Java-1735346.html) e valutando di persona gli sforzi effettivamente necessari a realizzare una patch risolutiva a prova di crash.Gli esperimenti del ricercatore hanno evidentemente dato frutti, e Gowdiak ha scoperto (http://seclists.org/fulldisclosure/2012/Oct/155) quanto segue: il fix richiede una mezz'oretta di lavoro in totale, modifica appena 25 caratteri nel codice sorgente di Java e non sembra richiedere periodi estesi di test di affidabilità visto che la "logica" del codice non viene in alcun modo intaccata.
La speranza di Gowdiak è che Oracle si scuota e pubblichi una patch ufficiale ben prima di quanto previsto al momento: i dettagli del fix sono stati comunicati alla società USA, mentre quelli sulla vulnerabilità sono ancora privati. Almeno per il momento.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3633008/PI/News/bug-java-mezzora-una-patch.aspx)
Un ricercatore di sicurezza mette pressione a Oracle dimostrando l'estrema facilità per la chiusura di una pericolosa vulnerabilità di sicurezza presente in Java. Che al momento è ancora aperta e pare resterà tale per mesi
Roma - Il ricercatore Adam Gowdiak torna all'attacco contro Oracle, o meglio contro i suoi tempi di reazione pachidermici nella chiusa di vulnerabilità di sicurezza Java estremamente pericolose. Basterebbe poco, pochissimo per metterci una pezza, suggerisce Gowdiak col suo lavoro, e Oracle non può far attendere gli utenti e l'industria IT per mesi per implementare una soluzione così banale.
Motivo del contendere è la falla Java scovata (http://punto-informatico.it/3614139/PI/News/java-buco-perpetuo.aspx) dallo stesso Gowdiak a settembre, un problema potenzialmente sfruttabile per aggirare la sandbox di sicurezza nelle versioni 5, 6 e 7 della virtual machine (Java SE): la "cura" per la vulnerabilità non è stata inclusa nell'ultimo ciclo di patch (ottobre), e per vederla occorrerà aspettare almeno fino a febbraio 2013.
Un tempo di attesa considerato inaccettabile, vista la pericolosità della falla, e in cui Gowdiak ha deciso di rigirare il coltello della sua abilità di coding sperimentando (http://www.h-online.com/security/news/item/Security-researcher-experiments-with-patching-Java-1735346.html) e valutando di persona gli sforzi effettivamente necessari a realizzare una patch risolutiva a prova di crash.Gli esperimenti del ricercatore hanno evidentemente dato frutti, e Gowdiak ha scoperto (http://seclists.org/fulldisclosure/2012/Oct/155) quanto segue: il fix richiede una mezz'oretta di lavoro in totale, modifica appena 25 caratteri nel codice sorgente di Java e non sembra richiedere periodi estesi di test di affidabilità visto che la "logica" del codice non viene in alcun modo intaccata.
La speranza di Gowdiak è che Oracle si scuota e pubblichi una patch ufficiale ben prima di quanto previsto al momento: i dettagli del fix sono stati comunicati alla società USA, mentre quelli sulla vulnerabilità sono ancora privati. Almeno per il momento.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3633008/PI/News/bug-java-mezzora-una-patch.aspx)