c.m.g
08-03-2013, 09:44
venerdì 8 marzo 2013
Un altro problema affligge la piattaforma Java: questa volta più che di una vulnerabilità si tratta di una policy scarsamente attenta alla sicurezza nel controllo dei certificati digitali
Roma - Non bastasse la già problematica tendenza di Java a mettere in mostra vulnerabilità (http://punto-informatico.it/3734481/PI/Brevi/oracle-aggiorna-java-apple-cancella.aspx) e falle zero day, un nuovo rischio per la virtual machine di Oracle arriva ora dagli archivi JAR firmati digitalmente con certificati revocati. Certificati che, a quanto pare, Java non si prende il disturbo di controllare a dovere.
Un archivio JAR contiene tutto il necessario a eseguire una applet Java dopo il download tramite browser web, e quello identificato da Eric Romang sul sito di un dizionario tedesco online (dict.tu-chemnitz.de) è risultato essere infetto con il kit di exploit g01pack (http://urlquery.net/report.php?id=1243374).
Il codice malevolo viene camuffato da aggiornamento di sicurezza legittimo ("ClearWeb Security Update") firmato digitalmente da Clearsult Consulting, chiedendo all'utente di autorizzare l'esecuzione. Ma una volta concessa l'autorizzazione, l'archivio JAR procede a infettare la macchina con il malware.
Il certificato risulta firmato con una chiave privata autentica ma rubata, e tale chiave è stata revocata (http://www.h-online.com/security/news/item/Java-certificate-checks-botched-1817879.html) il 7 dicembre del 2012. Ma Java non controlla la data di revocazione di un certificato a meno che non si sia stata abilitata l'opzione dal Pannello di Controllo di Windows, e quindi l'utente potrebbe essere tratto facilmente in inganno da una funzionalità di sicurezza - quella dei certificati digitali, appunto - usata per scopi diametralmente opposti a quelli originari.
I problema dei certificati rubati - o firmati digitalmente con chiavi non più valide - è di quelli che si fanno sentire (http://punto-informatico.it/3682773/PI/News/google-blocca-certificati-turchi-non-autorizzati.aspx) in seno all'intera industria informatica, e in attesa che Java modifichi (ancora) le impostazioni di sicurezza di default è caldamente consigliato attivare la verifica di revoca dei certificati nella configurazione della virtual machine.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3737138/PI/News/java-certificati-senza-certificazione.aspx)
Un altro problema affligge la piattaforma Java: questa volta più che di una vulnerabilità si tratta di una policy scarsamente attenta alla sicurezza nel controllo dei certificati digitali
Roma - Non bastasse la già problematica tendenza di Java a mettere in mostra vulnerabilità (http://punto-informatico.it/3734481/PI/Brevi/oracle-aggiorna-java-apple-cancella.aspx) e falle zero day, un nuovo rischio per la virtual machine di Oracle arriva ora dagli archivi JAR firmati digitalmente con certificati revocati. Certificati che, a quanto pare, Java non si prende il disturbo di controllare a dovere.
Un archivio JAR contiene tutto il necessario a eseguire una applet Java dopo il download tramite browser web, e quello identificato da Eric Romang sul sito di un dizionario tedesco online (dict.tu-chemnitz.de) è risultato essere infetto con il kit di exploit g01pack (http://urlquery.net/report.php?id=1243374).
Il codice malevolo viene camuffato da aggiornamento di sicurezza legittimo ("ClearWeb Security Update") firmato digitalmente da Clearsult Consulting, chiedendo all'utente di autorizzare l'esecuzione. Ma una volta concessa l'autorizzazione, l'archivio JAR procede a infettare la macchina con il malware.
Il certificato risulta firmato con una chiave privata autentica ma rubata, e tale chiave è stata revocata (http://www.h-online.com/security/news/item/Java-certificate-checks-botched-1817879.html) il 7 dicembre del 2012. Ma Java non controlla la data di revocazione di un certificato a meno che non si sia stata abilitata l'opzione dal Pannello di Controllo di Windows, e quindi l'utente potrebbe essere tratto facilmente in inganno da una funzionalità di sicurezza - quella dei certificati digitali, appunto - usata per scopi diametralmente opposti a quelli originari.
I problema dei certificati rubati - o firmati digitalmente con chiavi non più valide - è di quelli che si fanno sentire (http://punto-informatico.it/3682773/PI/News/google-blocca-certificati-turchi-non-autorizzati.aspx) in seno all'intera industria informatica, e in attesa che Java modifichi (ancora) le impostazioni di sicurezza di default è caldamente consigliato attivare la verifica di revoca dei certificati nella configurazione della virtual machine.
Alfonso Maruccia
Fonte: Punto Informatico (http://punto-informatico.it/3737138/PI/News/java-certificati-senza-certificazione.aspx)