[NEWS] Java, certificati senza certificazione

		Hardware Upgrade Forum > Networking e sicurezza > Antivirus e Sicurezza > News - AV e sicurezza
[NEWS] Java, certificati senza certificazione

	Tastiera gaming MSI GK600 TKL: switch hot-swap, display LCD e tre modalità wireless MSI FORGE GK600 TKL WIRELESS: switch lineari hot-swap, tripla connettività, display LCD e 5 strati di fonoassorbimento. Ottima in gaming, a 79,99 euro
	DJI Osmo Pocket 4: la gimbal camera tascabile cresce e ha nuovi controlli fisici DJI porta un importante aggiornamento alla sua linea di gimbal camera tascabili con Osmo Pocket 4: sensore CMOS da 1 pollice rinnovato, gamma dinamica a 14 stop, profilo colore D-Log a 10 bit, slow motion a 4K/240fps e 107 GB di archiviazione integrata. Un prodotto pensato per i creator avanzati, ma che convince anche per l'uso quotidiano
	Sony INZONE H6 Air: il primo headset open-back di Sony per giocatori Il primo headset open-back della linea INZONE arriva a 200 euro con driver derivati dalle cuffie da studio MDR-MV1 e un peso record di soli 199 grammi

iPhone 18 Pro: il componente che garantirà il salto di qualità per la fotocamera è entrato in produzione

DeepL alza il livello: con Voice-to-Voice arriva una suite completa per la traduzione in tempo reale

Apple sta utilizzando sempre più componenti riciclati nei suoi prodotti

Il MacBook Neo vende tanto? Microsoft le prova tutte per vendere laptop Windows agli studenti americani

AST SpaceMobile BlueBird 7: Blue Origin ha lanciato un razzo spaziale New Glenn con primo stadio già utilizzato

È il momento migliore per comprare un'e-bike: sconti Engwe assurdi su fat, pieghevoli, carbonio e altro ancora

Svendita MacBook Pro: c'è il modello con chip M4 Max da 16,2" scontato di quasi 900€, con 36GB di RAM e 1TB di SSD

Oggi questa TV TCL QLED da 43 pollici costa solo 199€. E a soli 20€ in più c'è il 4K

Il caricatore multiplo da 200W che va bene anche coi MacBook crolla a 23,99€, il 365W ora a soli 32,99€, più potente e con display

Top 7 Amazon, il meglio del meglio di questo weekend: iPhone, portatili e un super affare al 7

Spento lo strumento LECP della sonda spaziale NASA Voyager 1 per risparmiare energia

Tutti gli articoli

Tutte le news

Vai al Forum

Strumenti

08-03-2013, 08:44

c.m.g

Senior Member

Iscritto dal: Mar 2006

Messaggi: 22121

[NEWS] Java, certificati senza certificazione

venerdì 8 marzo 2013

Spoiler:

Quote:

Un altro problema affligge la piattaforma Java: questa volta più che di una vulnerabilità si tratta di una policy scarsamente attenta alla sicurezza nel controllo dei certificati digitali

Roma - Non bastasse la già problematica tendenza di Java a mettere in mostra vulnerabilità e falle zero day, un nuovo rischio per la virtual machine di Oracle arriva ora dagli archivi JAR firmati digitalmente con certificati revocati. Certificati che, a quanto pare, Java non si prende il disturbo di controllare a dovere.

Un archivio JAR contiene tutto il necessario a eseguire una applet Java dopo il download tramite browser web, e quello identificato da Eric Romang sul sito di un dizionario tedesco online (dict.tu-chemnitz.de) è risultato essere infetto con il kit di exploit g01pack.

Il codice malevolo viene camuffato da aggiornamento di sicurezza legittimo ("ClearWeb Security Update") firmato digitalmente da Clearsult Consulting, chiedendo all'utente di autorizzare l'esecuzione. Ma una volta concessa l'autorizzazione, l'archivio JAR procede a infettare la macchina con il malware.

Il certificato risulta firmato con una chiave privata autentica ma rubata, e tale chiave è stata revocata il 7 dicembre del 2012. Ma Java non controlla la data di revocazione di un certificato a meno che non si sia stata abilitata l'opzione dal Pannello di Controllo di Windows, e quindi l'utente potrebbe essere tratto facilmente in inganno da una funzionalità di sicurezza - quella dei certificati digitali, appunto - usata per scopi diametralmente opposti a quelli originari.

I problema dei certificati rubati - o firmati digitalmente con chiavi non più valide - è di quelli che si fanno sentire in seno all'intera industria informatica, e in attesa che Java modifichi (ancora) le impostazioni di sicurezza di default è caldamente consigliato attivare la verifica di revoca dei certificati nella configurazione della virtual machine.

Alfonso Maruccia

Fonte: Punto Informatico

__________________
Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

« Discussione precedente | Discussione successiva »

	Tastiera gaming MSI GK600 TKL: switch hot-swap, ...
	DJI Osmo Pocket 4: la gimbal camera tascabile cr...
	Sony INZONE H6 Air: il primo headset open-back d...
	Nutanix cambia pelle: dall’iperconvergenza alla ...
	Recensione Xiaomi Pad 8 Pro: potenza bruta e Hyp...

	iPhone 18 Pro: il componente che garanti...
	DeepL alza il livello: con Voice-to-Voic...
	Apple sta utilizzando sempre più ...
	Il MacBook Neo vende tanto? Microsoft le...
	AST SpaceMobile BlueBird 7: Blue Origin ...
	È il momento migliore per comprar...
	Svendita MacBook Pro: c'è il mode...
	Oggi questa TV TCL QLED da 43 pollici co...
	Il caricatore multiplo da 200W che va be...
	Top 7 Amazon, il meglio del meglio di qu...
	Spento lo strumento LECP della sonda spa...
	Voyager Technologies ha siglato un accor...
	GoPro annuncia la linea MISSION 1 con tr...
	Alcune varianti dei futuri Samsung Galax...
	Il ridimensionamento di OnePlus in Europ...

	Chromium
	GPU-Z
	OCCT
	LibreOffice Portable
	Opera One Portable
	Opera One 106
	CCleaner Portable
	CCleaner Standard
	Cpu-Z
	Driver NVIDIA GeForce 546.65 WHQL
	SmartFTP
	Trillian
	Google Chrome Portable
	Google Chrome 120
	VirtualBox

Tutti gli articoli

Tutte le news

Tutti i download

Strumenti
Mostra una versione stampabile Invia questa pagina per email

Regole
Non Puoi aprire nuove discussioni Non Puoi rispondere ai messaggi Non Puoi allegare file Non Puoi modificare i tuoi messaggi Il codice vB è On Le Faccine sono On Il codice [IMG] è On Il codice HTML è Off

Vai al Forum

Tutti gli orari sono GMT +1. Ora sono le: 20:40.

Tastiera gaming MSI GK600 TKL: switch hot-swap, display LCD e tre modalità wireless MSI FORGE GK600 TKL WIRELESS: switch lineari hot-swap, tripla connettività, display LCD e 5 strati di fonoassorbimento. Ottima in gaming, a 79,99 euro

Recensione Xiaomi Pad 8 Pro: potenza bruta e HyperOS 3 per sfidare la fascia alta Xiaomi Pad 8 Pro adotta il potente Snapdragon 8 Elite all'interno di un corpo con spessore di soli 5,75 mm e pannello LCD a 144Hz flicker-free, per un tablet che...

WoW: Midnight, Blizzard mette il primo, storico mattone per l'housing e molto altro Con Midnight, Blizzard tenta il colpaccio: il player housing sbarca finalmente su Azeroth insieme a una Quel'Thalas ricostruita da zero. Tra il dramma della famiglia...

DJI RS 5: stabilizzazione e tracking intelligente per ogni videomaker Analizziamo nel dettaglio DJI RS 5, l'ultimo arrivato della famiglia Ronin progettato per videomaker solisti e piccoli studi. Tra tracciamento intelligente migliorato...

Vi portiamo all'interno di uno dei più importanti centri di distribuzione Amazon in Italia MXP6 è uno dei più recenti investimenti di Amazon sul territorio italiano, per la realizzazione di un capannone da 60.000 metri quadri alle porte di Novara, a due...

Nutanix cambia pelle: dall’iperconvergenza alla piattaforma full stack per cloud ibrido e IA Al .NEXT 2026 di Chicago, Nutanix ha mostrato quanto sia cambiata: una piattaforma software che gestisce VM, container e carichi di lavoro IA ovunque, dall’on-premise...

Zeekr X e 7X provate: prezzi, autonomia fino a 615 km e ricarica in 13 minuti Zeekr sbarca ufficialmente in Italia con tre modelli elettrici premium, X, 7X e 001, distribuiti da Jameel Motors su una rete di 52 punti vendita già attivi. La...

Ecovacs Goat O1200 LiDAR Pro: la prova del robot tagliaerba con tagliabordi integrato Nuova frontiera per i robot tagliaerba, con Ecovacs GOAT O1200 LiDAR Pro che riconosce l'ambiente in maniera perfetta, grazie a due sensori LiDAR, e dopo la falciatura...