[NEWS] Bug Java? Mezzora per una patch

c.m.g · 25-10-2012, 17:03

mercoledì 24 ottobre 2012

Spoiler:

Quote:

Un ricercatore di sicurezza mette pressione a Oracle dimostrando l'estrema facilità per la chiusura di una pericolosa vulnerabilità di sicurezza presente in Java. Che al momento è ancora aperta e pare resterà tale per mesi

Roma - Il ricercatore Adam Gowdiak torna all'attacco contro Oracle, o meglio contro i suoi tempi di reazione pachidermici nella chiusa di vulnerabilità di sicurezza Java estremamente pericolose. Basterebbe poco, pochissimo per metterci una pezza, suggerisce Gowdiak col suo lavoro, e Oracle non può far attendere gli utenti e l'industria IT per mesi per implementare una soluzione così banale.

Motivo del contendere è la falla Java scovata dallo stesso Gowdiak a settembre, un problema potenzialmente sfruttabile per aggirare la sandbox di sicurezza nelle versioni 5, 6 e 7 della virtual machine (Java SE): la "cura" per la vulnerabilità non è stata inclusa nell'ultimo ciclo di patch (ottobre), e per vederla occorrerà aspettare almeno fino a febbraio 2013.

Un tempo di attesa considerato inaccettabile, vista la pericolosità della falla, e in cui Gowdiak ha deciso di rigirare il coltello della sua abilità di coding sperimentando e valutando di persona gli sforzi effettivamente necessari a realizzare una patch risolutiva a prova di crash.Gli esperimenti del ricercatore hanno evidentemente dato frutti, e Gowdiak ha scoperto quanto segue: il fix richiede una mezz'oretta di lavoro in totale, modifica appena 25 caratteri nel codice sorgente di Java e non sembra richiedere periodi estesi di test di affidabilità visto che la "logica" del codice non viene in alcun modo intaccata.

La speranza di Gowdiak è che Oracle si scuota e pubblichi una patch ufficiale ben prima di quanto previsto al momento: i dettagli del fix sono stati comunicati alla società USA, mentre quelli sulla vulnerabilità sono ancora privati. Almeno per il momento.

Alfonso Maruccia

Fonte: Punto Informatico

nV 25 · 25-10-2012, 17:40

sono letteralmente basito...

Quest'esperienza, al di là delle indubbie capacità del tizio cui si fa riferimento nell'articolo, dimostra chiaramente la scarsa attenzione di Oracle ad un fenomeno, quello cioè della "sicurezza" o anche qualità del software, che evidentemente è avvertito come critico da tutti...fuorchè da loro.

SCANDALOSO

Avranno n ingegneri informatici tesi, evidentemente, a pensare ad altro causa ovviamente politiche aziendali disastrose...

c.m.g · 26-10-2012, 07:10

Perché con la "vecchia gestione" era più sicuro? Java e Flash sono il tallone d'Achille dei sistemi da una vita...

25-10-2012, 17:40	#2
nV 25 Bannato Iscritto dal: Jan 2003 Città: Lucca Messaggi: 9119	sono letteralmente basito... Quest'esperienza, al di là delle indubbie capacità del tizio cui si fa riferimento nell'articolo, dimostra chiaramente la scarsa attenzione di Oracle ad un fenomeno, quello cioè della "sicurezza" o anche qualità del software, che evidentemente è avvertito come critico da tutti...fuorchè da loro. SCANDALOSO Avranno n ingegneri informatici tesi, evidentemente, a pensare ad altro causa ovviamente politiche aziendali disastrose... Ultima modifica di nV 25 : 25-10-2012 alle 18:41. Motivo: *

26-10-2012, 07:10	#3
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22121	Perché con la "vecchia gestione" era più sicuro? Java e Flash sono il tallone d'Achille dei sistemi da una vita... __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

Strumenti
Mostra una versione stampabile Invia questa pagina per email