Una falla di Java mette a rischio la sicurezza di Mac OS X. La mettiamo giù in maniera piuttosto semplice ma pare proprio che questa volta l’allarme sia potenzialmente serio. Ad avvertire del rischio concreto di una esecuzione di codice arbitrario sulla macchina dell’utente da parte di una Applet Java appositamente compilata ed eseguita nel browser, è Landon Fuller, programmatore ed ex ingegnere di Apple.
Per dimostrare che non si tratta di una minaccia remota e teorica Fuller ha rilasciato una vera e propria proof of concept che servirebbe, a suo dire, a convincere Apple della necessità di patchare al più presto la vulnerabilità. Cerchiamo di capire meglio in cosa consiste il problema e come sia possibile difendersi in attesa di un nuovo aggiornamento di sicurezza.
Il problema è semplice: una Applet appositamente creata per sfruttare la vulnerabilità CVE-2008-5353 e fatta girare dal client Java del sistema tramite il browser, è in grado di eseguire codice sul sistema con i privilegi dell’utente loggato al momento.
L’esempio fornito da Fuller spiega in maniera rapida ed efficacie il concetto. Collegatevi a questo link contenente l’Applet di Fuller. La voce che sentite non è riprodotta dal programma, è il vostro Mac che sta parlando attraverso il comando “say”. Provate ad aprire il Terminale e a digitare say Hello World e capirete immediatamente che cosa ha appena combinato l’exploit di Fuller.
Un’altra buona notizia è che riuscire ad implementare la falla non è esattamente alla portata tecnica di chiunque. Senza scordarci che l’utente deve necessariamente essere indirizzato a priori verso il sito contenente l’applet malevola.
La cattiva notizia è che la vulnerabilità è nota da un bel po’ e nonostante il recente aggiornamento di sicurezza incluso in Mac OS X 10.5.7, se ne sta ancora al suo posto. Per la precisione questo bug è noto agli addetti ai lavori già dallo scorso mese di agosto mentre Sun, l’azienda che ha creato il linguaggio Java, ha risolto il problema a dicembre scorso.
Come fare dunque a difendersi da questo bug in attesa che da Cupertino si decidano a consegnarci una patch ufficiale? Semplice, basta disabilitare Java sui browser. Qualche sito non funzionerà al massimo, anche se è vero che le Applet Java non sono fra gli elementi più comuni in cui ci si imbatte durante la navigazione, ma al momento questa è l’unica soluzione. In Firefox basta togliere la spunta nel pannello Contenuti delle Preferenze. In Safari l’opzione si trova nel pannello Preferenze – Security (o Sicurezza). Se avete necessita di attivare una Applet da un sito sicuro potete utilizzare un Site Specific Browser come Fluid oppure attivare Java sul browser per il tempo necessario all’utilizzo dell’Applet specifica.
Poiché prevedo già che qualcuno potrebbe farsi domande strane su JavaScript, anticipo la risposta: non vi preoccupate, JavaScript è tutt’altro rispetto a Java (Netscape avrà sempre sulla coscienza la generazione di questo eterno fraintendimento) e non è nemmeno lontanamente sfiorato dal problema.
Si può pensare di risparmiare un bel po’ acquistando un iPhone, bisogna solo cercare il…
Apple ha avuto modo di presentare le nuove varianti di iPad Pro e iPad Air,…
I dati di vendita dell’iPhone 15 non sono stati così positivi in questa prima parte…
L’Apple Vision Pro non è ancora stato lanciato a livello globale e probabilmente non arriverà…
Se state cercando un iPhone ad un prezzo più conveniente, senza dubbio può essere interessanti…
Manca ancora un po’ di tempo prima di assistere alla nuova famiglia di iPhone 16,…
View Comments
Disattivato Java su Safari... certo però che potevano patcharlo da subito :S tanto odio java :D