[NEWS] Java, certificati senza certificazione

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Java, certificati senza certificazione

	Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per le note, sono le note salienti. Il salto di prezzo rispetto al modello in bianco e nero si fa sentire, anche se la percezione è quella di trovarsi di fronte a un prodotto di fascia altissima, per veri appassionati
	L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il ritmo sempre più serrato a cui vengono trovate vulnerabilità nel software. Un problema significativo, che richiederà del tempo per essere risolto (o quantomeno arginato)
	L'Europa conta nella tecnologia e può essere autonoma. Cosa si è detto al Nextcloud Summit 2026 La parola d'ordine al Nextcloud Summit 2026, che si è tenuto a Monaco, è stata "sovranità". Non come è spesso usato questo termine in politica ma, al contrario, come capacità positiva di decidere il proprio destino tecnologico, con modalità collaborative e aperte. L'Europa dice già molto nel mondo open source, che viene visto come mezzo per ottenere la tanto agognata autonomia digitale

Meta Brain2Qwerty v2: l'IA che trasforma i segnali cerebrali in testo senza impianti

Windows 11 può funzionare su un Intel Core 2 Quad con 3GB di RAM e GPU AGP? I risultati del test stupiscono

Sicurezza dei minori sui social: su 86 strumenti testati solo 35 funzionano

Google avrebbe limitato l'accesso di Meta ai modelli Gemini a causa della carenza di capacità di calcolo

Qwen 3.6 27B apre una nuova era per l'IA: il compromesso ideale fra i modelli locali?

Dyson V8 Absolute a 299€ su Amazon: la scopa elettrica senza filo che resta un riferimento per potenza, autonomia e pulizia completa

Le migliori offerte sugli smartphone su Amazon: Motorola, Xiaomi e Samsung Galaxy S26 con super sconti

Amazon spiega le ragioni del passaggio da Android a VegaOS per Fire TV

ECOVACS DEEBOT MINI scende ancora di prezzo e ora costa solo 189€: robot compatto con stazione OMNI completa e lavaggio dei moci

Colpo di scena: NVIDIA PhysX gira su GPU AMD. Con ZLUDA prestazioni migliorate fino a 3 volte

Samsung non accelera, il processo a 1,4 nanometri non prima del 2029: la litografia High-NA EUV al centro della strategia

Tutti gli articoli

Tutte le news

Vai al Forum

Strumenti

08-03-2013, 08:44

c.m.g

Senior Member

Iscritto dal: Mar 2006

Messaggi: 22121

[NEWS] Java, certificati senza certificazione

venerdì 8 marzo 2013

Spoiler:

Quote:

Un altro problema affligge la piattaforma Java: questa volta più che di una vulnerabilità si tratta di una policy scarsamente attenta alla sicurezza nel controllo dei certificati digitali

Roma - Non bastasse la già problematica tendenza di Java a mettere in mostra vulnerabilità e falle zero day, un nuovo rischio per la virtual machine di Oracle arriva ora dagli archivi JAR firmati digitalmente con certificati revocati. Certificati che, a quanto pare, Java non si prende il disturbo di controllare a dovere.

Un archivio JAR contiene tutto il necessario a eseguire una applet Java dopo il download tramite browser web, e quello identificato da Eric Romang sul sito di un dizionario tedesco online (dict.tu-chemnitz.de) è risultato essere infetto con il kit di exploit g01pack.

Il codice malevolo viene camuffato da aggiornamento di sicurezza legittimo ("ClearWeb Security Update") firmato digitalmente da Clearsult Consulting, chiedendo all'utente di autorizzare l'esecuzione. Ma una volta concessa l'autorizzazione, l'archivio JAR procede a infettare la macchina con il malware.

Il certificato risulta firmato con una chiave privata autentica ma rubata, e tale chiave è stata revocata il 7 dicembre del 2012. Ma Java non controlla la data di revocazione di un certificato a meno che non si sia stata abilitata l'opzione dal Pannello di Controllo di Windows, e quindi l'utente potrebbe essere tratto facilmente in inganno da una funzionalità di sicurezza - quella dei certificati digitali, appunto - usata per scopi diametralmente opposti a quelli originari.

I problema dei certificati rubati - o firmati digitalmente con chiavi non più valide - è di quelli che si fanno sentire in seno all'intera industria informatica, e in attesa che Java modifichi (ancora) le impostazioni di sicurezza di default è caldamente consigliato attivare la verifica di revoca dei certificati nella configurazione della virtual machine.

Alfonso Maruccia

Fonte: Punto Informatico

__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

« Discussione precedente | Discussione successiva »

	Kindle Scribe Colorsoft: riduce le cornici e div...
	L'IA cambia tutte le regole della sicurezza tra ...
	L'Europa conta nella tecnologia e può ess...
	Dreame X60 Pro Ultra Complete: i bracci si esten...
	TCL 65C8L, la recensione del SQD-Mini LED da 440...

	Meta Brain2Qwerty v2: l'IA che trasforma...
	Windows 11 può funzionare su...
	Sicurezza dei minori sui social: su 86 s...
	Google avrebbe limitato l'accesso di Met...
	Qwen 3.6 27B apre una nuova era per l'IA...
	Dyson V8 Absolute a 299€ su Amazon: la s...
	Le migliori offerte sugli smartphone su ...
	Amazon spiega le ragioni del passaggio d...
	ECOVACS DEEBOT MINI scende ancora di pre...
	Colpo di scena: NVIDIA PhysX gira su GPU...
	Samsung non accelera, il processo a 1,4 ...
	Abbiamo provato la DJI Osmo Pocket 4P a ...
	Koei Tecmo annuncia un nuovo action chia...
	La postazione racing di Kimi Antonelli c...
	Amazon TOP 10: rivoluzione nelle prime 4...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutte le news

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 12:32.

TCL 65C8L, la recensione del SQD-Mini LED da 4400 nit misurati La tecnologia SQD-Mini LED di TCL arriva sul taglio da 65 pollici con la serie C8L: 2040 zone, pannello WHVA 2.0 e un picco che alle rilevazioni delle sonde tocca...

Kindle Scribe Colorsoft: riduce le cornici e diventa a colori, ma il prezzo è alto Amazon porta i colori sul suo Kindle da scrittura più grande: schermo Colorsoft a 11 pollici, processore quad-core, penna premium più reattiva e strumenti IA per...

Forza Horizon 6 Recensione: si vola in Giappone! Forza Horizon 6 arriva con la nuova ambientazione in Giappone, il paese più desiderato dalla community fin dal debutto della serie nel 2012. Playground Games ha...

Da oggi mirrorless full-frame Canon EOS R6 V e RF 20-50mm F4 L IS USM PZ, il meglio per i video a mano libera Disponibili da oggi sia una nuova mirrorless full-frame, Canon EOS R6 V, sia l'obiettivo RF 20-50mm F4 L IS USM PZ, il primo RF full-frame serie L con power zoom...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

L'IA cambia tutte le regole della sicurezza tra vulnerabilità e sorveglianza. Intervista al CEO di Proofpoint Abbiamo intervistato Sumit Dhawan, CEO di Proofpoint, per capire come stia cambiando il mondo della sicurezza con l'avvento dell'intelligenza artificiale e con il...

Come rispettare tutte le nuove regole per i monopattini elettrici? La guida per non rischiare sanzioni Sono ormai definitive le nuove norme del Codice della Strada per i monopattini elettrici. Non solo targa e assicurazione, le regole sono tante e riguardano diversi...

Dreame X60 Pro Ultra Complete: i bracci si estendono sempre di più Dreame X60 Pro Ultra Complete implementa due bracci estensibili, per spazzola e moccio, che si spingono ben oltre quanto visto sino ad oggi permettendo una pulizia...