[NEWS] Java bucato, Cisco intercettata

c.m.g · 11-01-2013, 21:10

venerdì 11 gennaio 2013

Spoiler:

Quote:

La virtual machine di Oracle continua a subire le peggiori attenzioni anche nel 2013. E poi sfortuna vuole che certi telefoni intelligenti si possano trasformare in cimici per le spie

Roma - Anno nuovo, falla zero-day nuova per Java: la virtual machine più bucherellata di sempre contiene l'ennesima vulnerabilità pericolosa per gli utenti e i netizen che navigano il Web. La falla è già sfruttata attivamente da ignoti cyber-criminali, e potrebbe presto trasformarsi in una minaccia di ampie proporzioni se Oracle non deciderà di distribuire un aggiornamento tempestivo.

Gli esperti di sicurezza hanno scovato e testato la nuova vulnerabilità nell'ultimo runtine Java disponibile (Java 7 Update 10), verificando la possibilità di iniettare ed eseguire codice malevolo da remoto su una macchina Windows aggiornata all'ultimo update rilasciato da Microsoft.

Ma la vera pericolosità della falla, oltre al suo status di vulnerabilità "zero-day", è l'inserimento come modulo di attacco all'interno degli "exploit kit" più noti sul mercato nero della cybersicurezza come Black Hole e Nuclear Pack: stando così le cose, il numero di siti compromessi - e dunque il potenziale bacino di vittime dei cyber-criminali - potrebbe presto crescere in maniera sensibile.
E se da Oracle ancora scarseggiano notizie sull'auspicabile rilascio di una patch risolutiva, il consiglio anti-falla buono per tutte le stagione prevede la disabilitazione del plugin sui browser. Nel caso di Internet Explorer, inoltre, disabilitare non basta e occorre disinstallare la virtual machine dal sistema per essere sicuri.

Lo sfruttamento della nuova falla Java non richiede l'accesso "fisico" al PC che si vuole infettare, mentre il caso opposto si verifica in relazione all'ultima vulnerabilità scovata nei telefoni "IP" con funzionalità di rete commercializzati da Cisco. Un hacker determinato che avesse la possibilità di mettere le mani su un telefono della serie CiscoUnified IP Phone 7900, dicono i ricercatori che hanno individuato il problema, potrebbe iniettare del codice malevolo nel firmware (Unix-like) del dispositivo tramite porta seriale così da trasformarlo in una vera e propria "cimice" e/o dispositivo di sorveglianza capace di intercettare le chiamate e trasmetterle (via streaming di rete) a un server remoto.

Alfonso Maruccia

Fonte: Punto Informatico

c.m.g · 14-01-2013, 12:56

Correlate:
Oracle chiude la falla con Java 7 Update 11 su webnews

Java 7 si aggiorna, Oracle promette una patch dopo il disastro su downloadblog

Patch di emergenza per Java e Internet Explorer su punto informatico

14-01-2013, 12:56	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	Correlate: Oracle chiude la falla con Java 7 Update 11 su webnews Java 7 si aggiorna, Oracle promette una patch dopo il disastro su downloadblog Patch di emergenza per Java e Internet Explorer su punto informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario. Ultima modifica di c.m.g : 15-01-2013 alle 10:41.

Strumenti
Mostra una versione stampabile Invia questa pagina per email